Sfruttando una tecnica di cyberattacco finora inedita, gli aggressori stanno utilizzando il Servizio di Notifica Semplice di Amazon Web Services (AWS SNS) e uno script personalizzato per l’invio di messaggi spam in massa, denominato SNS Sender, per alimentare una campagna di “smishing” in corso che impersona il Servizio Postale degli Stati Uniti.
Sebbene l’abuso di AWS SNS, una piattaforma di messaggistica basata sul cloud, sia una novità, la campagna rappresenta un esempio di un tema sempre più comune: sia le aziende che gli aggressori stanno spostando i loro rispettivi carichi di lavoro sul cloud piuttosto che gestirli tramite server web tradizionali, secondo un rapporto odierno di SentinelOne.
Ciò presenta un serio rischio aziendale per quelle entità le cui istanze cloud legittime sono state compromesse da attaccanti che cercano di sfruttare le loro capacità AWS.
Contenuto
Routine di Infezione Smishing
L’autore o gli autori dello script SNS Sender, che si facevano chiamare con l’alias “ARDUINO_DAS” dal 2020 al 2023, erano noti per essere prolifici nella scena dei kit di phishing, sebbene questo pseudonimo sembra essere stato abbandonato dopo che gli operatori sono stati accusati di truffare gli acquirenti di kit di phishing sul Dark Web, secondo SentinelOne.
L’ex alias, tuttavia, si trova ancora in tutti gli strumenti degli aggressori, che sono ancora utilizzati e attivamente circolati, inclusa l’ultima campagna del mese scorso.
Secondo Alex Delamotte, ricercatore senior di minacce presso SentinelOne e autore del rapporto, l’attacco SNS Sender utilizza una versione del ben noto espediente della “notifica di pacchetto mancato”, sostenendo di provenire dall’USPS. “Ne ho ricevuti molti di questi, e so che molte altre persone li hanno ricevuti.
Dicono che hai perso un pacchetto e devi ritirarlo all’ufficio postale,” dice Delamotte, aggiungendo che, sebbene la campagna lanci una rete ampia e non specifica, gli anziani sono i più propensi a cadere nella trappola. “Ti dice di accedere e assomiglia molto alla vera pagina USPS, ma sta raccogliendo il nome, l’indirizzo e il numero di carta di credito della persona.”
I messaggi di testo contengono URL che conducono a pagine di phishing, che chiedono agli individui di inserire le loro informazioni personali identificabili (PII) e i dettagli della carta di pagamento.
Questi vengono poi inviati al server dell’attaccante, così come a un canale Telegram. “È una sorta di luogo centralizzato per vedere i log che vengono raccolti da questi kit di phishing,” dice Delamotte. “Abbiamo effettivamente visto i log. Registra anche quali kit di phishing vengono utilizzati.”
Rischio Aziendale: Il Problema del Phishing nel Cloud
L’aspetto di spicco della campagna è l’uso di AWS SNS, secondo SentinelOne. “C’è molto da fare per poter inviare messaggi SMS nel cloud. Ci sono regolamenti federali e un quadro di registrazione SMS noto come A2P 10DLC. Questo quadro implementa le linee guida federali per i fornitori di cloud o software-as-a-service (SaaS) per conoscere effettivamente il loro cliente,” sottolinea Delamotte.
Ciò significa che gli aggressori devono avere credenziali legittime e affidabili per poter mantenere la campagna. Quello che essenzialmente accade è che gli attori della minaccia ruberanno le credenziali cloud di un’azienda esistente, probabilmente perché non possono superare il processo di verifica per iscriversi da soli. L’attore della minaccia utilizzerà quindi quelle credenziali per inviare i messaggi di phishing agli utenti, utilizzando il dominio dell’azienda legittima.
Tuttavia, ci sono ulteriori ostacoli: compromettere qualsiasi vecchia istanza AWS non è sufficiente — gli aggressori devono anche verificare le capacità SNS di un ambiente mirato. “SNS Sender rappresenta un approccio più ristretto che si basa sull’attore che ha accesso a un tenant AWS SNS configurato correttamente,” secondo il rapporto di SentinelOne.
“Usare AWS presenta una sfida per questo attore. AWS non consente notifiche SMS tramite SNS per impostazione predefinita. Affinché questa funzionalità funzioni, il tenant deve essere rimosso dall’ambiente sandbox SNS.”
Tutto ciò comporta un rischio significativo per le aziende. Prima di tutto, il dirottamento del dominio crea una cattiva immagine per l’azienda, perché sono il volto della truffa per l’utente. Inoltre, essere dirottati potrebbe compromettere le capacità SMS di un’azienda di comunicare con i suoi clienti: secondo Delamotte, un’organizzazione colpita dovrà probabilmente lottare per mantenere attive le sue capacità SMS.
Questo è particolarmente una cattiva notizia per le organizzazioni che mantengono comunicazioni SMS ad alto volume con i consumatori, come i fornitori di e-commerce o coloro che gestiscono programmi di fedeltà.
Per le aziende, evitare di essere coinvolti in SNS Sender si riduce a quello che Delamotte considera essere l’igiene di sicurezza di base: le organizzazioni devono assicurarsi di non esporre le proprie credenziali nel cloud, che sia tramite codice in GitHub o “servizi insicurati in modo improprio”.
Fonte: Darkreading.com
