Mã lệnh SNS Sender độc hại lạm dụng AWS để thực hiện các cuộc tấn công độc phá hàng loạt

www.tuoitre.vn -   15/02/2024 08:00:00 139

Một mã lệnh trên Python độc hại có tên là SNS Sender đang được quảng bá trong cộng đồng hacker như một cách để phát tán các tác nhân đe dọa gửi tin nhắn giả mạo hàng loạt bằng cách lạm dụng Dịch vụ thông báo đơn giản (SNS) của Amazon Web Services (AWS).

Mã lệnh SNS Sender độc hại lạm dụng AWS để thực hiện các cuộc tấn công độc phá hàng loạt

Các tin nhắn lừa đảo qua SMS được thiết kế để truyền bá các liên kết độc hại nhằm lấy thông tin nhận dạng cá nhân (PII) và chi tiết thẻ thanh toán của nạn nhân, SentinelOne cho biết trong một báo cáo mới, cho rằng nó là do một kẻ đe dọa có tên ARDUINO_DAS.

Nhà nghiên cứu bảo mật Alex Delamotte cho biết: “Các trò lừa đảo giả mạo thường dưới hình thức một tin nhắn từ Bưu điện Hoa Kỳ (USPS) liên quan đến việc giao gói hàng bị thất lạc”.

SNS Sender cũng là công cụ đầu tiên được quan sát thấy tận dụng AWS SNS để tiến hành các cuộc tấn công gửi thư rác qua SMS. SentinelOne cho biết họ đã xác định được các liên kết giữa ARDUINO_DAS và hơn 150 bộ công cụ lừa đảo được rao bán.

Phần mềm độc hại yêu cầu danh sách các liên kết lừa đảo được lưu trữ trong tệp có tên links.txt trong thư mục hoạt động của nó, bên cạnh danh sách khóa truy cập AWS, số điện thoại cần nhắm mục tiêu, ID người gửi (còn gọi là tên hiển thị) và nội dung của thông điệp.

Việc bắt buộc bao gồm ID người gửi để gửi văn bản lừa đảo là điều đáng chú ý vì việc hỗ trợ ID người gửi khác nhau tùy theo quốc gia. Điều này cho thấy rằng tác giả của SNS Sender có thể đến từ một quốc gia nơi ID người gửi là thông lệ.

Có bằng chứng cho thấy hoạt động này có thể đã hoạt động ít nhất từ tháng 7 năm 2022, dựa trên nhật ký ngân hàng có chứa tham chiếu đến ARDUINO_DAS đã được chia sẻ trên các diễn đàn thẻ như Crax Pro.

Phần lớn các bộ công cụ lừa đảo có chủ đề USPS, với các chiến dịch hướng người dùng đến các trang theo dõi gói không có thật để nhắc người dùng nhập thông tin cá nhân và thẻ tín dụng/thẻ ghi nợ của họ, bằng chứng là nhà nghiên cứu bảo mật @JCyberSec_ trên X (trước đây là Twitter) ở đầu tháng 9 năm 2022.

Nhà nghiên cứu lưu ý thêm: “Bạn có nghĩ tác nhân triển khai biết tất cả các bộ công cụ đều có cửa sau ẩn gửi nhật ký đến nơi khác không?”.

Nếu có thì sự phát triển này thể hiện nỗ lực không ngừng của các tác nhân đe dọa hàng hóa nhằm khai thác môi trường đám mây cho các chiến dịch tấn công. Vào tháng 4 năm 2023, Permiso tiết lộ một cụm hoạt động lợi dụng các khóa truy cập AWS đã bị lộ trước đó để xâm nhập vào máy chủ AWS và gửi tin nhắn SMS bằng SNS.

Các phát hiện này cũng theo sau việc phát hiện ra một công cụ nhỏ giọt mới có tên mã TicTacToe, có khả năng được bán như một dịch vụ cho các tác nhân đe dọa và được quan sát thấy đang được sử dụng để truyền bá nhiều loại kẻ đánh cắp thông tin và trojan truy cập từ xa (RAT) nhắm mục tiêu vào người dùng Windows trong suốt năm 2023.

Nó được triển khai bằng chuỗi lây nhiễm bốn giai đoạn bắt đầu bằng tệp ISO được nhúng trong email. Một ví dụ liên quan khác về việc các tác nhân đe dọa liên tục đổi mới chiến thuật liên quan đến việc sử dụng mạng quảng cáo để thực hiện các chiến dịch thư rác hiệu quả và triển khai phần mềm độc hại như DarkGate.

Tác nhân đe dọa đã liên kết proxy thông qua mạng quảng cáo để trốn tránh việc phát hiện và nắm bắt các phân tích về nạn nhân của chúng. Các chiến dịch được bắt đầu thông qua các tệp đính kèm PDF độc hại giả dạng thông báo lỗi OneDrive, dẫn đến phần mềm độc hại.

Bộ phận infosec của nhà sản xuất PC cũng nhấn mạnh việc lạm dụng các nền tảng hợp pháp như Discord để phát tán và phát tán phần mềm độc hại, một xu hướng ngày càng trở nên phổ biến trong những năm gần đây, khiến công ty phải chuyển sang liên kết tệp tạm thời vào cuối năm ngoái.

Intel 471 cho biết: “Discord được biết đến với cơ sở hạ tầng mạnh mẽ và đáng tin cậy và được nhiều người tin tưởng. "Các tổ chức thường đưa Discord vào danh sách cho phép, nghĩa là các liên kết và kết nối với nó không bị hạn chế. Điều này khiến cho sự phổ biến của nó đối với các tác nhân đe dọa không có gì đáng ngạc nhiên vì danh tiếng và mức độ sử dụng rộng rãi của nó."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 209
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 159
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 282
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 275
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 294
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 156
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

LIÊN HỆ

Thông tin liên hệ