Ένα κακόβουλο σενάριο στην Python, γνωστό ως SNS Sender, προωθείται ως ένας τρόπος για τους χάκερς να αποστέλλουν μαζικά phishing SMS, εκμεταλλευόμενοι την υπηρεσία ειδοποίησης (SNS) των υπηρεσιών της Amazon (AWS).
Τα phishing SMS μηνύματα έχουν σχεδιαστεί με σκοπό να διαδίδουν κακόβουλους συνδέσμους που αποσκοπούν στην καταγραφή προσωπικών πληροφοριών (PII) και στοιχείων πληρωμής των θυμάτων. Αυτή την είδηση μετέδωσε η SentinelOne σε μια πρόσφατη έκθεση, αποδίδοντας την ευθύνη στην απειλή που ονομάζεται ARDUINO_DAS.
Διαβάστε ακόμη: ANY.RUN Sandbox: Επιτρέπει σε ομάδες SOC και DFIR να αναλύουν προηγμένο κακόβουλο λογισμικό Linux
Ο ερευνητής ασφαλείας Alex Delamotte δήλωσε ότι οι απάτες συχνά εκμεταλλεύονται την πρόφαση ενός μηνύματος από την Ταχυδρομική Υπηρεσία των Ηνωμένων Πολιτειών (USPS) για μια χαμένη παράδοση πακέτου.
Το SNS Sender είναι επίσης το πρώτο εργαλείο που παρατηρήθηκε, το οποίο που χρησιμοποιεί το AWS SNS για να προβεί σε ανεπιθύμητες επιθέσεις SMS αλληλογραφίας. Η SentinelOne ανέφερε ότι ανιχνεύθηκαν συνδέσμοι μεταξύ του ARDUINO_DAS και περισσότερων από 150 κιτ phishing που προσφέρονταν προς πώληση.
Το κακόβουλο λογισμικό απαιτεί μια λίστα με phishing συνδέσμους που αποθηκεύονται σε ένα αρχείο με το όνομα “links.txt” στον κατάλογο εργασίας του. Επιπλέον, απαιτείται μια λίστα με τα κλειδιά πρόσβασης AWS, τους αριθμούς τηλεφώνου που πρέπει να επιτεθούν, το αναγνωριστικό αποστολέα (γνωστό και ως εμφανιζόμενο όνομα) και το περιεχόμενο του μηνύματος.
Η απαραίτητη συμπερίληψη του αναγνωριστικού αποστολέα για την αποστολή αναφορών για απάτες είναι αξιοσημείωτη. Αυτό συμβαίνει διότι η υποστήριξη για αναγνωριστικά αποστολέα διαφέρει από χώρα σε χώρα. Αυτό υποδηλώνει ότι ο συντάκτης του SNS Sender πιθανότατα προέρχεται από μια χώρα όπου η χρήση αναγνωριστικού αποστολέα είναι κοινή πρακτική.
Για παράδειγμα, στις Ηνωμένες Πολιτείες, οι εταιρείες κινητής τηλεφωνίας δεν υποστηρίζουν καθόλου αναγνωριστικά αποστολέα, αλλά στην Ινδία, οι παρόχοι απαιτούν τη χρήση αναγνωριστικών αποστολέα, σύμφωνα με τεκμηρίωση της Amazon.
Υπάρχουν στοιχεία που δείχνουν ότι αυτή η λειτουργία μπορεί να ήταν ενεργή τουλάχιστον από τον Ιούλιο του 2022, με τη χρήση αρχείων καταγραφής τραπεζών που περιέχουν αναφορές στο ARDUINO_DAS και έχουν κοινοποιηθεί σε φόρουμ όπως το Crax Pro.
Η συντριπτική πλειονότητα των κιτ phishing συνδέονται με το USPS και ανακατευθύνουν τους χρήστες σε ψεύτικες ιστοσελίδες, όπου καλούνται να καταχωρήσουν τα προσωπικά τους στοιχεία και τις πληροφορίες των πιστωτικών/χρεωστικών τους καρτών. Αυτό αποκαλύφθηκε από τον ερευνητή ασφάλειας @JCyberSec_ στο X (πρώην Twitter) στις αρχές του Σεπτεμβρίου 2022.
Τον Απρίλιο του 2023, η Permiso αποκάλυψε μια επίθεση που εκμεταλλευόταν προηγουμένως εκτεθειμένα κλειδιά πρόσβασης AWS για να διεισδύσει σε διακομιστές AWS και να αποστείλει μηνύματα SMS μέσω του SNS.
Δείτε σχετικά: Ουκρανός παραδέχτηκε τον ηγετικό του ρόλο στα malware Zeus και IcedID
Επιπλέον, ανακαλύφθηκε ένα νέο dropper με την ονομασία TicTacToe, πιθανότατα προσφερόμενο ως υπηρεσία σε φορείς απειλών. Έχει παρατηρηθεί ότι χρησιμοποιείται για τη διάδοση διαφόρων κλοπών πληροφοριών και Trojan απομακρυσμένης πρόσβασης (RAT) που επικεντρώνονται σε χρήστες των Windows κατά τη διάρκεια του 2023. Αυτά τα ευρήματα προκύπτουν από έρευνες που διεξήχθησαν.
Το Fortinet FortiGuard Labs, το οποίο αναλύει κακόβουλο λογισμικό, ανακοίνωσε ότι αυτό αναπτύσσεται μέσω μιας αλυσίδας τεσσάρων σταδίων που ξεκινά με ένα αρχείο ISO που ενσωματώνεται σε μηνύματα ηλεκτρονικού ταχυδρομείου.
Ένα επιπλέον σχετικό παράδειγμα φορέων απειλών που διαρκώς προωθούν τις τακτικές τους αφορά τη χρήση διαφημιστικών δικτύων για την εκτέλεση αποτελεσματικών καμπανιών ανεπιθύμητων αλληλογραφιών και την ανάπτυξη κακόβουλου λογισμικού όπως το DarkGate.
Ο παράγοντας της απειλής εκτέλεσε συνδέσμους μέσω ενός διαφημιστικού δικτύου για να αποφύγει τον εντοπισμό και να μην καταγραφούν αναλυτικά στοιχεία σχετικά με τα θύματά του, δήλωσε η HP Wolf Security. Οι επιθέσεις ξεκίνησαν με κακόβουλα συνημμένα αρχεία PDF που παρουσιάζονταν ως μηνύματα σφάλματος του OneDrive, οδηγώντας στην εγκατάσταση κακόβουλου λογισμικού.
H Infosec επεσήμανε την ανεπιθύμητη χρήση νόμιμων πλατφορμών όπως το Discord για την δημιουργία και διανομή κακόβουλου λογισμικού, μια τάση που έχει γίνει όλο και πιο διαδεδομένη τα τελευταία χρόνια. Ως αποτέλεσμα, η εταιρεία αποφάσισε να χρησιμοποιεί προσωρινούς συνδέσμους αρχείων από το περασμένο έτος και μετά.
Δείτε επίσης: Τα “TicTacToe Dropper” χρησιμοποιούνται για τη διανομή malware
Η Intel 471 αναφέρει ότι το Discord είναι γνωστό για την αξιόπιστη και ευρέως αναγνωρισμένη υποδομή του. Οι οργανισμοί συχνά χρησιμοποιούν το Discord, καθώς οι σύνδεσμοι και οι συνδέσεις του δεν είναι περιορισμένοι. Επομένως, δεν είναι έκπληξη ότι το Discord είναι δημοφιλές μεταξύ των παραγόντων απειλών, λαμβάνοντας υπόψη τη φήμη και την ευρεία χρήση του.
Πηγή: thehackernews.com
 των υπηρεσιών της Amazon (AWS).){kind=link}