Вредоносный скрипт на Python, известный как SNS Sender, рекламируется как способ, с помощью которого субъекты угрозы могут отправлять массовые взломные сообщения, злоупотребляя службой простых уведомлений Amazon Web Services (AWS) (SNS).
Фишинговые SMS-сообщения предназначены для распространения вредоносных ссылок, которые предназначены для сбора личной информации жертв (PII) и данных платежных карт, сказал SentinelOne в новом отчете, приписывая это субъекту угрозы по имени ARDUINO_DAS.
"Сногсшибательные аферы часто маскируются под сообщение Почтовой службы США (USPS) о пропущенной доставке посылки", - сказал исследователь безопасности Алекс Деламот.
SNS Sender также является первым обнаруженным инструментом, использующим AWS SNS для проведения атак с использованием SMS-спама. SentinelOne заявила, что выявила связи между ARDUINO_DAS и более чем 150 фишинговыми наборами, выставленными на продажу.
Вредоносному ПО требуется список фишинговых ссылок, хранящихся в файле с именем links.txt в его рабочем каталоге, помимо списка ключей доступа AWS, указаны целевые номера телефонов, идентификатор отправителя (он же отображаемое имя) и содержимое сообщения.
Обязательное включение идентификатора отправителя для отправки мошеннических текстов заслуживает внимания, поскольку поддержка идентификаторов отправителей варьируется от страны к стране. Это говорит о том, что автор SNS Sender, скорее всего, из страны, где использование идентификатора отправителя является обычной практикой.
"Например, операторы связи в Соединенных Штатах вообще не поддерживают идентификаторы отправителей, но операторы связи в Индии требуют, чтобы отправители использовали идентификаторы отправителей", - говорится в документации Amazon.
Есть основания предполагать, что эта операция могла быть активна как минимум с июля 2022 года, судя по банковским журналам, содержащим ссылки на ARDUINO_DAS, которыми делились на форумах кардинга, таких как Crax Pro.
Подавляющее большинство фишинговых наборов ориентированы на USPS и направляют пользователей на поддельные страницы, на которых пользователям предлагается ввести свои личные данные и данные кредитной / дебетовой карты, о чем свидетельствует исследователь безопасности @JCyberSec_ на X (ранее Twitter) в начале сентября 2022 года.
"Как вы думаете, участник развертывания знает, что во всех наборах есть скрытый бэкдор, отправляющий журналы в другое место?", - отметил исследователь далее.
В любом случае, разработка отражает постоянные попытки участников товарных угроз использовать облачные среды для кампаний smishing. В апреле 2023 года Permiso раскрыла кампанию атак, в ходе которой использовались ранее предоставленные ключи доступа AWS для проникновения на серверы AWS и отправки SMS-сообщений с использованием SNS.
Выводы также следуют за обнаружением нового дроппера под кодовым названием TicTacToe, который, вероятно, продается как услуга субъектам угрозы и, как было замечено, использовался для распространения широкого спектра похитителей информации и троянов удаленного доступа (RATs), нацеленных на пользователей Windows в течение 2023 года.
Компания Fortinet FortiGuard Labs, которая пролила свет на вредоносное ПО, заявила, что оно внедряется посредством четырехэтапной цепочки заражения, которая начинается с файла ISO, встроенного в сообщения электронной почты.
Другой актуальный пример того, как субъекты угроз постоянно совершенствуют свою тактику, касается использования рекламных сетей для проведения эффективных кампаний рассылки спама и развертывания вредоносных программ, таких как DarkGate.
"Злоумышленник передавал прокси-ссылки через рекламную сеть, чтобы избежать обнаружения и собирать аналитические данные о своих жертвах", - сказали в HP Wolf Security. "Кампании были инициированы с помощью вредоносных вложений PDF, выдаваемых за сообщения об ошибках OneDrive, что привело к появлению вредоносного ПО".
Подразделение информационной безопасности производителя ПК также обратило внимание на злоупотребление законными платформами, такими как Discord, для создания и распространения вредоносного ПО - тенденция, которая становится все более распространенной в последние годы, что побудило компанию перейти на временные ссылки на файлы к концу прошлого года.
"Discord известен своей надежной инфраструктурой, и ему широко доверяют", - сказал Intel 471. "Организации часто разрешают использование списка Discord, что означает, что ссылки и подключения к нему не ограничены. Это делает его популярность среди участников угроз неудивительной, учитывая его репутацию и широкое использование".
Фишинговые SMS-сообщения предназначены для распространения вредоносных ссылок, которые предназначены для сбора личной информации жертв (PII) и данных платежных карт, сказал SentinelOne в новом отчете, приписывая это субъекту угрозы по имени ARDUINO_DAS.
"Сногсшибательные аферы часто маскируются под сообщение Почтовой службы США (USPS) о пропущенной доставке посылки", - сказал исследователь безопасности Алекс Деламот.
SNS Sender также является первым обнаруженным инструментом, использующим AWS SNS для проведения атак с использованием SMS-спама. SentinelOne заявила, что выявила связи между ARDUINO_DAS и более чем 150 фишинговыми наборами, выставленными на продажу.
Вредоносному ПО требуется список фишинговых ссылок, хранящихся в файле с именем links.txt в его рабочем каталоге, помимо списка ключей доступа AWS, указаны целевые номера телефонов, идентификатор отправителя (он же отображаемое имя) и содержимое сообщения.
Обязательное включение идентификатора отправителя для отправки мошеннических текстов заслуживает внимания, поскольку поддержка идентификаторов отправителей варьируется от страны к стране. Это говорит о том, что автор SNS Sender, скорее всего, из страны, где использование идентификатора отправителя является обычной практикой.
"Например, операторы связи в Соединенных Штатах вообще не поддерживают идентификаторы отправителей, но операторы связи в Индии требуют, чтобы отправители использовали идентификаторы отправителей", - говорится в документации Amazon.
Есть основания предполагать, что эта операция могла быть активна как минимум с июля 2022 года, судя по банковским журналам, содержащим ссылки на ARDUINO_DAS, которыми делились на форумах кардинга, таких как Crax Pro.
Подавляющее большинство фишинговых наборов ориентированы на USPS и направляют пользователей на поддельные страницы, на которых пользователям предлагается ввести свои личные данные и данные кредитной / дебетовой карты, о чем свидетельствует исследователь безопасности @JCyberSec_ на X (ранее Twitter) в начале сентября 2022 года.
"Как вы думаете, участник развертывания знает, что во всех наборах есть скрытый бэкдор, отправляющий журналы в другое место?", - отметил исследователь далее.
В любом случае, разработка отражает постоянные попытки участников товарных угроз использовать облачные среды для кампаний smishing. В апреле 2023 года Permiso раскрыла кампанию атак, в ходе которой использовались ранее предоставленные ключи доступа AWS для проникновения на серверы AWS и отправки SMS-сообщений с использованием SNS.
Выводы также следуют за обнаружением нового дроппера под кодовым названием TicTacToe, который, вероятно, продается как услуга субъектам угрозы и, как было замечено, использовался для распространения широкого спектра похитителей информации и троянов удаленного доступа (RATs), нацеленных на пользователей Windows в течение 2023 года.
Компания Fortinet FortiGuard Labs, которая пролила свет на вредоносное ПО, заявила, что оно внедряется посредством четырехэтапной цепочки заражения, которая начинается с файла ISO, встроенного в сообщения электронной почты.
Другой актуальный пример того, как субъекты угроз постоянно совершенствуют свою тактику, касается использования рекламных сетей для проведения эффективных кампаний рассылки спама и развертывания вредоносных программ, таких как DarkGate.
"Злоумышленник передавал прокси-ссылки через рекламную сеть, чтобы избежать обнаружения и собирать аналитические данные о своих жертвах", - сказали в HP Wolf Security. "Кампании были инициированы с помощью вредоносных вложений PDF, выдаваемых за сообщения об ошибках OneDrive, что привело к появлению вредоносного ПО".
Подразделение информационной безопасности производителя ПК также обратило внимание на злоупотребление законными платформами, такими как Discord, для создания и распространения вредоносного ПО - тенденция, которая становится все более распространенной в последние годы, что побудило компанию перейти на временные ссылки на файлы к концу прошлого года.
"Discord известен своей надежной инфраструктурой, и ему широко доверяют", - сказал Intel 471. "Организации часто разрешают использование списка Discord, что означает, что ссылки и подключения к нему не ограничены. Это делает его популярность среди участников угроз неудивительной, учитывая его репутацию и широкое использование".
