ClickCease AWS SNS Bulk Smishing: Proteja los sistemas de la explotación

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

AWS SNS Bulk Smishing: Proteja los sistemas de la explotación

Wajahat Raja

5 de marzo de 2024 - Equipo de expertos TuxCare

En los últimos avances en ciberseguridad, un script malicioso en Python llamado SNS Sender ha aparecido como una herramienta para que los actores de amenazas lleven a cabo ataques masivos de smishing explotando el Servicio de Notificación Simple (SNS) de Amazon Web Services (AWS). La dirección AWS SNS bulk smishing se ha vinculado a un actor de amenazas llamado ARDUINO_DAS, y los investigadores de seguridad han descubierto un patrón preocupante de mensajes SMS de phishing dirigidos a capturar información confidencial de las víctimas. En este blog, exploraremos las implicaciones de seguridad de mensajería masiva AWS SNS.

 

Tácticas de "smishing" masivo de AWS SNS


Según un informe reciente de
SentinelOneestas estafas de suplantación de identidad suelen hacerse pasar por mensajes de entidades fiables, y uno de los más comunes son las notificaciones del Servicio Postal de Estados Unidos (USPS) sobre la entrega de un paquete perdido.

El objetivo del incidente de phishing de AWS SNS es inducir a los destinatarios a hacer clic en enlaces maliciosos incrustados en los mensajes, lo que conduce a la puesta en peligro de la información de identificación personal (PII) y datos de tarjetas de pago.


Remitente SNS: Una innovación inquietante

 

¿Qué hace que el smishing masivo de AWS SNS es la utilización de SNS Sender como la primera herramienta observada en la naturaleza, aprovechando AWS SNS para ataques de spam de SMS. El script malicioso requiere una lista de enlaces de phishing, claves de acceso a AWS, números de teléfono de destino, contenido del mensaje e ID de remitente.

En particular, la inclusión de identificadores de remitente es crucial, y su importancia varía de un país a otro. Por ejemplo, mientras que los operadores de Estados Unidos no admiten ID de remitente, los operadores de la India exigen su uso, lo que indica el origen probable del autor del remitente SNS.

 

Enlaces a kits de phishing y actividad a largo plazo


SentinelOne identificó más de
150 kits de phishing asociados con ARDUINO_DAS disponibles para la venta, lo que indica un panorama de amenazas bien establecido. Las pruebas sugieren que el ataque de suplantación de identidad de AWS SNS puede haber estado activo desde al menos julio de 2022, como se refleja en los registros bancarios que hacen referencia a ARDUINO_DAS compartidos en foros de carding como Crax Pro.


Específicos del kit de phishing


La mayoría de estos kits de phishing adoptan la temática de USPS, dirigiendo a los usuarios a páginas falsificadas de seguimiento de paquetes. Estas páginas piden a las víctimas desprevenidas que introduzcan información personal y de tarjetas de crédito/débito, como documentó el investigador de seguridad @JCyberSec_ en X a principios de septiembre de 2022. La pregunta que se plantea es: ¿son conscientes los actores que los despliegan de la existencia de puertas traseras ocultas en estos kits, que envían registros a ubicaciones no autorizadas?


Riesgos de seguridad de AWS SNS


Esta evolución concuerda con la tendencia actual de los actores de amenazas de productos básicos a explotar entornos de nube para
campañas de smishing. En abril de 2023, Permiso expuso un clúster de actividad que explotaba claves de acceso de AWS previamente expuestas para infiltrarse en servidores de AWS, empleando SNS para enviar mensajes SMS.


El cambiante panorama de las amenazas

 

El descubrimiento de un nuevo dropper, TicTacToe, se suma a la creciente lista de amenazas vendidas como servicios a los actores de amenazas. Observado a lo largo de 2023, TicTacToe facilita la propagación de varios ladrones de información y troyanos de acceso remoto (RAT) dirigidos a usuarios de Windows. Fortinet FortiGuard Labs destacó su despliegue a través de una cadena de infección de cuatro etapas que comienza con un archivo ISO incrustado dentro de mensajes de correo electrónico.


Tácticas innovadoras y lecciones aprendidas


Los actores de amenazas siguen innovando sus tácticas, como el uso de redes publicitarias para orquestar eficaces campañas de spam, ejemplificadas por
DarkGate. HP Wolf Security reveló que los actores de amenazas utilizan redes publicitarias para enviar enlaces por proxy, eludiendo la detección y capturando datos analíticos sobre sus víctimas.

Además, el uso indebido de plataformas legítimas como Discord para distribuir programas maliciosos es cada vez más frecuente, lo que ha llevado a las organizaciones a adaptar sus medidas de seguridad.


Conclusión


A medida que evoluciona el panorama de la ciberseguridad, es imperativo que tanto las organizaciones como las personas se mantengan alerta frente a amenazas emergentes como la brecha de seguridad de
brecha de seguridad de AWS SNS. La explotación de AWS para el smishing masivo subraya la necesidad de medidas de seguridad sólidas y un enfoque proactivo para ir un paso por delante de las amenazas. Comprender la evolución de las tácticas y aprovechar las lecciones aprendidas del caso de smishing masivo de AWS SNS serán cruciales para salvaguardar los entornos digitales del creciente espectro de ciberamenazas.

Las fuentes de este artículo incluyen artículos en The Hacker News y SentinelOne.

Resumen
AWS SNS Bulk Smishing: Proteja los sistemas de la explotación
Nombre del artículo
AWS SNS Bulk Smishing: Proteja los sistemas de la explotación
Descripción
Descubra lo último en exploits de smishing masivo de AWS SNS. Aprenda a protegerse frente a las amenazas y a proteger su entorno hoy mismo.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín