{"id":1152343,"date":"2024-02-16T18:03:28","date_gmt":"2024-02-16T20:03:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/un-script-malveillant-sns-sender-abuse-daws-pour-des-attaques-de-smishing-en-masse\/"},"modified":"2024-02-16T18:03:32","modified_gmt":"2024-02-16T20:03:32","slug":"un-script-malveillant-sns-sender-abuse-daws-pour-des-attaques-de-smishing-en-masse","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/un-script-malveillant-sns-sender-abuse-daws-pour-des-attaques-de-smishing-en-masse\/","title":{"rendered":"Un script malveillant \u00ab\u00a0SNS Sender\u00a0\u00bb abuse d&#8217;AWS pour des attaques de smishing en masse"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cybermenace\/S\u00e9curit\u00e9 du Cloud<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Un-script-malveillant-SNS-Sender-abuse-dAWS-pour-des-attaques.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un script Python malveillant appel\u00e9 <strong>Exp\u00e9diteur SNS<\/strong> est pr\u00e9sent\u00e9 comme un moyen permettant aux acteurs malveillants d&#8217;envoyer des messages de smishing en masse en abusant du service de notification simple d&#8217;Amazon Web Services (AWS) (<a rel=\"nofollow noopener\" href=\"https:\/\/aws.amazon.com\/sns\/\" target=\"_blank\">R\u00e9seaux sociaux<\/a>).<\/p>\n<p>Les messages de phishing par SMS sont con\u00e7us pour propager des liens malveillants con\u00e7us pour capturer les informations personnelles identifiables (PII) et les d\u00e9tails de la carte de paiement des victimes, SentinelOne. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/sns-sender-active-campaigns-unleash-messaging-spam-through-the-cloud\/\" target=\"_blank\">dit<\/a> dans un nouveau rapport, l&#8217;attribuant \u00e0 un acteur mena\u00e7ant nomm\u00e9 ARDUINO_DAS.<\/p>\n<p>&#8220;Les escroqueries par smishing prennent souvent la forme d&#8217;un message du service postal des \u00c9tats-Unis (USPS) concernant une livraison de colis manqu\u00e9e&#8221;, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Alex Delamotte.<\/p>\n<p>SNS Sender est \u00e9galement le premier outil observ\u00e9 dans la nature qui exploite AWS SNS pour mener des attaques de spam par SMS.  SentinelOne a d\u00e9clar\u00e9 avoir identifi\u00e9 des liens entre ARDUINO_DAS et plus de 150 kits de phishing propos\u00e9s \u00e0 la vente.<\/p>\n<p>Le malware n\u00e9cessite une liste de liens de phishing stock\u00e9s dans un fichier nomm\u00e9 links.txt dans son r\u00e9pertoire de travail, en plus d&#8217;une liste de cl\u00e9s d&#8217;acc\u00e8s AWS, des num\u00e9ros de t\u00e9l\u00e9phone \u00e0 cibler, de l&#8217;ID de l&#8217;exp\u00e9diteur (alias nom d&#8217;affichage) et du contenu de le message.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/boundaries728\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1708021586_957_Ivanti-Pulse-Secure-detecte-a-laide-dune-version-Linux-vieille.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L\u2019inclusion obligatoire de l\u2019identifiant de l\u2019exp\u00e9diteur pour l\u2019envoi de textes frauduleux est remarquable car la prise en charge des identifiants de l\u2019exp\u00e9diteur varie d\u2019un pays \u00e0 l\u2019autre.  Cela sugg\u00e8re que l&#8217;auteur de SNS Sender est probablement originaire d&#8217;un pays o\u00f9 l&#8217;identification de l&#8217;exp\u00e9diteur est une pratique conventionnelle.<\/p>\n<p>&#8220;Par exemple, les op\u00e9rateurs aux \u00c9tats-Unis ne prennent pas du tout en charge les identifiants d&#8217;exp\u00e9diteur, mais les op\u00e9rateurs en Inde exigent que les exp\u00e9diteurs utilisent des identifiants d&#8217;exp\u00e9diteur&#8221;, Amazon <a rel=\"nofollow noopener\" href=\"https:\/\/docs.aws.amazon.com\/sns\/latest\/dg\/channels-sms-awssupport-sender-id.html\" target=\"_blank\">dit<\/a> dans sa documentation.<\/p>\n<p>Il existe des preuves sugg\u00e9rant que cette op\u00e9ration pourrait \u00eatre active depuis au moins juillet 2022, d&#8217;apr\u00e8s les journaux bancaires contenant des r\u00e9f\u00e9rences \u00e0 ARDUINO_DAS qui ont \u00e9t\u00e9 partag\u00e9s sur des forums de cartes comme <a rel=\"nofollow noopener\" href=\"https:\/\/craxpro.io\/threads\/bank-logs.56226\/\" target=\"_blank\">CraxPro<\/a>.<\/p>\n<p>Une grande majorit\u00e9 des kits de phishing sont sur le th\u00e8me de l&#8217;USPS, les campagnes dirigeant les utilisateurs vers de fausses pages de suivi des colis qui les invitent \u00e0 saisir leurs informations personnelles et celles de leur carte de cr\u00e9dit\/d\u00e9bit, comme en t\u00e9moigne le chercheur en s\u00e9curit\u00e9 @JCyberSec_ sur X (anciennement Twitter) dans d\u00e9but septembre 2022.<\/p>\n<p>&#8220;Pensez-vous que l&#8217;acteur qui d\u00e9ploie sait que tous les kits ont une porte d\u00e9rob\u00e9e cach\u00e9e qui envoie les journaux vers un autre endroit\u00a0?&#8221;, poursuit le chercheur. <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/JCyberSec_\/status\/1567874393103007747\" target=\"_blank\">not\u00e9<\/a>.<\/p>\n<p>Au contraire, ce d\u00e9veloppement repr\u00e9sente les tentatives continues des acteurs de la menace des produits de base d&#8217;exploiter les environnements cloud pour des campagnes de smishing.  En avril 2023, Permiso <a rel=\"nofollow noopener\" href=\"https:\/\/permiso.io\/blog\/s\/smishing-attack-on-aws-sms-new-phone-who-dis\/\" target=\"_blank\">r\u00e9v\u00e9l\u00e9<\/a> un cluster d&#8217;activit\u00e9s qui a profit\u00e9 des cl\u00e9s d&#8217;acc\u00e8s AWS pr\u00e9c\u00e9demment expos\u00e9es pour infiltrer les serveurs AWS et envoyer des messages SMS \u00e0 l&#8217;aide de SNS.<\/p>\n<p>Les r\u00e9sultats font \u00e9galement suite \u00e0 la d\u00e9couverte d&#8217;un nouveau compte-gouttes nomm\u00e9 TicTacToe, probablement vendu comme service \u00e0 des acteurs malveillants et qui a \u00e9t\u00e9 observ\u00e9 comme \u00e9tant utilis\u00e9 pour propager une grande vari\u00e9t\u00e9 de voleurs d&#8217;informations et de chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT) ciblant les utilisateurs de Windows tout au long de l&#8217;ann\u00e9e 2023.<\/p>\n<p>Fortinet FortiGuard Labs, qui <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/tictactoe-dropper\" target=\"_blank\">faire la lumi\u00e8re sur le malware<\/a>a d\u00e9clar\u00e9 qu&#8217;il est d\u00e9ploy\u00e9 au moyen d&#8217;une cha\u00eene d&#8217;infection en quatre \u00e9tapes qui commence par un fichier ISO int\u00e9gr\u00e9 dans les messages \u00e9lectroniques.<\/p>\n<p>Un autre exemple pertinent d\u2019acteurs malveillants qui innovent continuellement dans leurs tactiques concerne l\u2019utilisation de r\u00e9seaux publicitaires pour organiser des campagnes de spam efficaces et d\u00e9ployer des logiciels malveillants tels que DarkGate.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Le-logiciel-malveillant-Bumblebee-revient-avec-de-nouvelles-astuces-ciblant.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;L&#8217;acteur malveillant a cr\u00e9\u00e9 des liens via un r\u00e9seau publicitaire pour \u00e9chapper \u00e0 la d\u00e9tection et capturer des analyses sur ses victimes&#8221;, HP Wolf Security <a rel=\"nofollow noopener\" href=\"https:\/\/threatresearch.ext.hp.com\/hp-wolf-security-threat-insights-report-q4-2023\/\" target=\"_blank\">dit<\/a>.  &#8220;Les campagnes ont \u00e9t\u00e9 lanc\u00e9es via des pi\u00e8ces jointes PDF malveillantes se faisant passer pour des messages d&#8217;erreur OneDrive, conduisant au malware.&#8221;<\/p>\n<p>La branche infosec du fabricant de PC a \u00e9galement soulign\u00e9 l&#8217;utilisation abusive de plates-formes l\u00e9gitimes comme Discord pour cr\u00e9er et distribuer des logiciels malveillants, une tendance qui est devenue de plus en plus courante ces derni\u00e8res ann\u00e9es, incitant l&#8217;entreprise \u00e0 passer \u00e0 des liens de fichiers temporaires d&#8217;ici la fin de l&#8217;ann\u00e9e derni\u00e8re.<\/p>\n<p>&#8220;Discord est connu pour son infrastructure robuste et fiable, et il jouit d&#8217;une grande confiance&#8221;, Intel 471 <a rel=\"nofollow noopener\" href=\"https:\/\/intel471.com\/blog\/how-discord-is-abused-for-cybercrime\" target=\"_blank\">dit<\/a>.  &#8220;Les organisations autorisent souvent Discord sur liste, ce qui signifie que les liens et les connexions vers celui-ci ne sont pas restreints. Cela rend sa popularit\u00e9 parmi les acteurs malveillants sans surprise compte tenu de sa r\u00e9putation et de son utilisation g\u00e9n\u00e9ralis\u00e9e.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/malicious-sns-sender-script-abuses-aws.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 f\u00e9vrier 2024\ue804R\u00e9dactionCybermenace\/S\u00e9curit\u00e9 du Cloud Un script Python malveillant appel\u00e9 Exp\u00e9diteur SNS est pr\u00e9sent\u00e9 comme un moyen permettant aux acteurs malveillants d&#8217;envoyer des messages de smishing en masse en abusant du service de notification simple d&#8217;Amazon Web Services (AWS) (R\u00e9seaux sociaux). Les messages de phishing par SMS sont con\u00e7us pour propager des liens malveillants con\u00e7us [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1152344,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[10785,200292,8074,4168,4165,4161,200267,154135,133,4159,4171,200271,7733,242,200268,200269,200270,185,60421,128318,4172,4169,230352,161575,128637,4166,4164],"class_list":["post-1152343","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-abuse","tag-actualites-sur-la-cybersecurite","tag-attaques","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-daws","tag-des","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-malveillant","tag-masse","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-pour","tag-script","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-sender","tag-smishing","tag-sns","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1152343","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1152343"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1152343\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1152344"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1152343"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1152343"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1152343"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}