Een kwaadaardig Python-script bekend als SNS-afzender wordt geadverteerd als een manier voor bedreigingsactoren om bulk-smishing-berichten te verzenden door misbruik te maken van de Simple Notification Service (SNS) van Amazon Web Services (AWS).
De sms-phishingberichten zijn ontworpen om kwaadaardige links te verspreiden die zijn ontworpen om de persoonlijk identificeerbare informatie (PII) en betaalkaartgegevens van slachtoffers vast te leggen, zei SentinelOne in een nieuw rapport, waarbij het werd toegeschreven aan een bedreigingsacteur genaamd ARDUINO_DAS.
“De smishing-zwendel neemt vaak de gedaante aan van een bericht van de United States Postal Service (USPS) over een gemiste pakketbezorging”, aldus beveiligingsonderzoeker Alex Delamotte.
SNS Sender is ook de eerste tool die in het wild wordt waargenomen en die AWS SNS gebruikt om sms-spamming-aanvallen uit te voeren. SentinelOne zei dat het verbanden heeft geïdentificeerd tussen ARDUINO_DAS en meer dan 150 phishing-kits die te koop worden aangeboden.
De malware vereist een lijst met phishing-links die zijn opgeslagen in een bestand met de naam links.txt in de werkmap, naast een lijst met AWS-toegangssleutels, de te targeten telefoonnummers, de afzender-ID (ook wel weergavenaam genoemd) en de inhoud van de boodschap.
De verplichte opname van een afzender-ID voor het verzenden van de oplichtingsteksten is opmerkelijk omdat de ondersteuning voor afzender-ID’s van land tot land verschilt. Dit suggereert dat de auteur van SNS Sender waarschijnlijk uit een land komt waar de afzender-ID een conventionele praktijk is.
“Vervoerders in de Verenigde Staten ondersteunen bijvoorbeeld helemaal geen afzender-ID’s, maar vervoerders in India vereisen dat afzenders afzender-ID’s gebruiken”, zegt Amazon in zijn documentatie.
Er zijn aanwijzingen dat deze operatie mogelijk al sinds juli 2022 actief is, zoals blijkt uit banklogboeken met verwijzingen naar ARDUINO_DAS die zijn gedeeld op kaartforums zoals Crax Pro.
Een grote meerderheid van de phishing-kits heeft een USPS-thema, waarbij de campagnes gebruikers naar valse pakkettrackingpagina’s leiden die gebruikers ertoe aanzetten hun persoonlijke gegevens en creditcard-/debetkaartgegevens in te voeren, zoals blijkt uit beveiligingsonderzoeker @JCyberSec_ op X (voorheen Twitter) in begin september 2022.
“Denk je dat de inzettende actor weet dat alle kits een verborgen achterdeur hebben die de logs naar een andere plaats stuurt?”, vervolgt de onderzoeker. dat is genoteerd.
De ontwikkeling vertegenwoordigt in ieder geval de voortdurende pogingen van actoren van commodity-bedreigingen om cloudomgevingen te exploiteren voor smishing-campagnes. In april 2023 onthulde Permiso een activiteitencluster dat profiteerde van eerder blootgestelde AWS-toegangssleutels om AWS-servers te infiltreren en sms-berichten te verzenden via SNS.
De bevindingen volgen ook op de ontdekking van een nieuwe dropper met de codenaam TicTacToe die waarschijnlijk wordt verkocht als een service aan bedreigingsactoren en waarvan is waargenomen dat deze in 2023 wordt gebruikt om een breed scala aan informatiestelers en trojans voor externe toegang (RAT’s) te verspreiden die zich op Windows-gebruikers richten.
Fortinet FortiGuard Labs, dat licht werpt op de malware, zegt dat deze wordt ingezet door middel van een infectieketen in vier fasen die begint met een ISO-bestand dat is ingebed in e-mailberichten.
Een ander relevant voorbeeld van bedreigingsactoren die hun tactieken voortdurend vernieuwen, betreft het gebruik van advertentienetwerken om effectieve spamcampagnes op te zetten en malware zoals DarkGate in te zetten.
“De dreigingsactor maakte proxyverbindingen via een advertentienetwerk om detectie te omzeilen en analyses over hun slachtoffers vast te leggen”, aldus HP Wolf Security. “De campagnes werden geïnitieerd via kwaadaardige pdf-bijlagen die zich voordeden als OneDrive-foutmeldingen, wat leidde tot de malware.”
De infosec-afdeling van de pc-maker benadrukte ook het misbruik van legitieme platforms zoals Discord om malware te organiseren en te verspreiden, een trend die de afgelopen jaren steeds gebruikelijker is geworden, wat het bedrijf ertoe aanzette eind vorig jaar over te stappen op tijdelijke bestandskoppelingen.
“Discord staat bekend om zijn robuuste en betrouwbare infrastructuur, en wordt algemeen vertrouwd”, aldus Intel 471. “Organisaties zetten Discord vaak op de toelatingslijst, wat betekent dat links en verbindingen ernaar niet beperkt zijn. Dit maakt de populariteit ervan onder bedreigingsactoren niet verrassend gezien de reputatie en het wijdverbreide gebruik ervan.”
