Olarak bilinen kötü amaçlı bir Python betiği SNS Göndereni Tehdit aktörlerinin Amazon Web Services (AWS) Basit Bildirim Hizmeti’ni (SNS) kötüye kullanarak toplu smishing mesajları göndermesinin bir yolu olarak tanıtılıyor.
SentinelOne yeni bir raporda, SMS kimlik avı mesajlarının kurbanların kişisel olarak tanımlanabilir bilgilerini (PII) ve ödeme kartı ayrıntılarını ele geçirmek için tasarlanmış kötü amaçlı bağlantıları yaymak üzere tasarlandığını söyledi ve bunu ARDUINO_DAS adlı bir tehdit aktörüne bağladı.
Güvenlik araştırmacısı Alex Delamotte, “Dolandırıcılık dolandırıcılıkları genellikle Amerika Birleşik Devletleri Posta Servisi’nden (USPS) kaçırılan paket teslimatına ilişkin bir mesaj kılığına giriyor” dedi.
SNS Sender aynı zamanda SMS spam saldırıları gerçekleştirmek için AWS SNS’den yararlanan, yaygın olarak gözlemlenen ilk araçtır. SentinelOne, ARDUINO_DAS ile satışa sunulan 150’den fazla kimlik avı kiti arasında bağlantı tespit ettiğini söyledi.
Kötü amaçlı yazılım, AWS erişim anahtarları, hedeflenecek telefon numaraları, gönderen kimliği (diğer adıyla görünen ad) ve içeriğin yanı sıra, çalışma dizinindeki links.txt adlı dosyada saklanan kimlik avı bağlantılarının bir listesini gerektirir. mesaj.
Dolandırıcılık mesajlarının gönderilmesinde gönderen kimliğinin zorunlu olarak dahil edilmesi dikkat çekicidir çünkü gönderen kimliklerine yönelik destek ülkeden ülkeye farklılık göstermektedir. Bu, SNS Sender’ın yazarının muhtemelen gönderen kimliğinin geleneksel bir uygulama olduğu bir ülkeden olduğunu göstermektedir.
Amazon, belgelerinde “Örneğin, Amerika Birleşik Devletleri’ndeki operatörler gönderen kimliklerini hiçbir şekilde desteklemiyor, ancak Hindistan’daki operatörler gönderenlerin gönderen kimliklerini kullanmasını gerektiriyor” diyor.
Crax Pro gibi tarama forumlarında paylaşılan ARDUINO_DAS referanslarını içeren banka kayıtlarına bakılarak, bu operasyonun en azından Temmuz 2022’den bu yana aktif olabileceğini gösteren kanıtlar var.
Kimlik avı kitlerinin büyük çoğunluğu USPS temalı olup, Eylül 2022’nin başlarında X’teki (eski adıyla Twitter) güvenlik araştırmacısı @JCyberSec_ tarafından kanıtlandığı üzere, kullanıcıları kişisel bilgilerini ve kredi/banka kartı bilgilerini girmeye yönlendiren sahte sayfalara yönlendirmektedir.
Araştırmacı ayrıca, “Sizce konuşlandırmayı yapan aktör, tüm kitlerin günlükleri başka bir yere gönderen gizli bir arka kapıya sahip olduğunu biliyor mu?” kayıt edilmiş.
Bu gelişme, emtia tehdit aktörlerinin, saldırı kampanyaları için bulut ortamlarından yararlanmaya yönelik devam eden girişimlerini temsil ediyor. Nisan 2023’te Permiso, AWS sunucularına sızmak ve SNS kullanarak SMS mesajları göndermek için daha önce açığa çıkan AWS erişim anahtarlarından yararlanan bir saldırı kampanyasını ortaya çıkardı.
Bulgular ayrıca, muhtemelen tehdit aktörlerine bir hizmet olarak satılan ve 2023 yılı boyunca Windows kullanıcılarını hedef alan çok çeşitli bilgi hırsızlarını ve uzaktan erişim truva atlarını (RAT’lar) yaymak için kullanıldığı gözlemlenen TicTacToe kod adlı yeni bir damlalığın keşfini de takip ediyor.
Kötü amaçlı yazılıma ışık tutan Fortinet FortiGuard Labs, kötü amaçlı yazılımın, e-posta mesajlarına gömülü bir ISO dosyasıyla başlayan dört aşamalı bir enfeksiyon zinciri aracılığıyla dağıtıldığını söyledi.
Taktiklerini sürekli olarak yenileyen tehdit aktörlerinin bir diğer önemli örneği, etkili spam kampanyaları düzenlemek ve DarkGate gibi kötü amaçlı yazılımları dağıtmak için reklam ağlarının kullanılmasıyla ilgilidir.
HP Wolf Security, “Tehdit aktörü, tespit edilmekten kaçınmak ve kurbanları hakkındaki analizleri yakalamak için bir reklam ağı üzerinden bağlantıları temsil etti” dedi. “Kampanyalar, OneDrive hata mesajları gibi görünen ve kötü amaçlı yazılıma yol açan kötü amaçlı PDF ekleri aracılığıyla başlatıldı.”
PC üreticisinin bilgi güvenliği kolu ayrıca, Discord gibi meşru platformların kötü amaçlı yazılım hazırlamak ve dağıtmak için kötüye kullanıldığını da vurguladı; bu, son yıllarda giderek yaygınlaşan bir trend ve şirketin geçen yılın sonuna kadar geçici dosya bağlantılarına geçmesine yol açtı.
Intel 471, “Discord, sağlam ve güvenilir altyapısıyla tanınıyor ve geniş çapta güveniliyor” dedi. “Kuruluşlar genellikle Discord’u izin verilenler listesine ekliyor; bu, onunla olan bağlantıların ve bağlantıların sınırlı olmadığı anlamına geliyor. Bu, itibarı ve yaygın kullanımı göz önüne alındığında, tehdit aktörleri arasındaki popülaritesinin şaşırtıcı olmamasını sağlıyor.”