Mã lệnh SNS Sender độc hại lạm dụng AWS để thực hiện các cuộc tấn công độc phá hàng loạt

www.tuoitre.vn -   15/02/2024 08:00:00 299

Một mã lệnh trên Python độc hại có tên là SNS Sender đang được quảng bá trong cộng đồng hacker như một cách để phát tán các tác nhân đe dọa gửi tin nhắn giả mạo hàng loạt bằng cách lạm dụng Dịch vụ thông báo đơn giản (SNS) của Amazon Web Services (AWS).

Mã lệnh SNS Sender độc hại lạm dụng AWS để thực hiện các cuộc tấn công độc phá hàng loạt

Các tin nhắn lừa đảo qua SMS được thiết kế để truyền bá các liên kết độc hại nhằm lấy thông tin nhận dạng cá nhân (PII) và chi tiết thẻ thanh toán của nạn nhân, SentinelOne cho biết trong một báo cáo mới, cho rằng nó là do một kẻ đe dọa có tên ARDUINO_DAS.

Nhà nghiên cứu bảo mật Alex Delamotte cho biết: “Các trò lừa đảo giả mạo thường dưới hình thức một tin nhắn từ Bưu điện Hoa Kỳ (USPS) liên quan đến việc giao gói hàng bị thất lạc”.

SNS Sender cũng là công cụ đầu tiên được quan sát thấy tận dụng AWS SNS để tiến hành các cuộc tấn công gửi thư rác qua SMS. SentinelOne cho biết họ đã xác định được các liên kết giữa ARDUINO_DAS và hơn 150 bộ công cụ lừa đảo được rao bán.

Phần mềm độc hại yêu cầu danh sách các liên kết lừa đảo được lưu trữ trong tệp có tên links.txt trong thư mục hoạt động của nó, bên cạnh danh sách khóa truy cập AWS, số điện thoại cần nhắm mục tiêu, ID người gửi (còn gọi là tên hiển thị) và nội dung của thông điệp.

Việc bắt buộc bao gồm ID người gửi để gửi văn bản lừa đảo là điều đáng chú ý vì việc hỗ trợ ID người gửi khác nhau tùy theo quốc gia. Điều này cho thấy rằng tác giả của SNS Sender có thể đến từ một quốc gia nơi ID người gửi là thông lệ.

Có bằng chứng cho thấy hoạt động này có thể đã hoạt động ít nhất từ tháng 7 năm 2022, dựa trên nhật ký ngân hàng có chứa tham chiếu đến ARDUINO_DAS đã được chia sẻ trên các diễn đàn thẻ như Crax Pro.

Phần lớn các bộ công cụ lừa đảo có chủ đề USPS, với các chiến dịch hướng người dùng đến các trang theo dõi gói không có thật để nhắc người dùng nhập thông tin cá nhân và thẻ tín dụng/thẻ ghi nợ của họ, bằng chứng là nhà nghiên cứu bảo mật @JCyberSec_ trên X (trước đây là Twitter) ở đầu tháng 9 năm 2022.

Nhà nghiên cứu lưu ý thêm: “Bạn có nghĩ tác nhân triển khai biết tất cả các bộ công cụ đều có cửa sau ẩn gửi nhật ký đến nơi khác không?”.

Nếu có thì sự phát triển này thể hiện nỗ lực không ngừng của các tác nhân đe dọa hàng hóa nhằm khai thác môi trường đám mây cho các chiến dịch tấn công. Vào tháng 4 năm 2023, Permiso tiết lộ một cụm hoạt động lợi dụng các khóa truy cập AWS đã bị lộ trước đó để xâm nhập vào máy chủ AWS và gửi tin nhắn SMS bằng SNS.

Các phát hiện này cũng theo sau việc phát hiện ra một công cụ nhỏ giọt mới có tên mã TicTacToe, có khả năng được bán như một dịch vụ cho các tác nhân đe dọa và được quan sát thấy đang được sử dụng để truyền bá nhiều loại kẻ đánh cắp thông tin và trojan truy cập từ xa (RAT) nhắm mục tiêu vào người dùng Windows trong suốt năm 2023.

Nó được triển khai bằng chuỗi lây nhiễm bốn giai đoạn bắt đầu bằng tệp ISO được nhúng trong email. Một ví dụ liên quan khác về việc các tác nhân đe dọa liên tục đổi mới chiến thuật liên quan đến việc sử dụng mạng quảng cáo để thực hiện các chiến dịch thư rác hiệu quả và triển khai phần mềm độc hại như DarkGate.

Tác nhân đe dọa đã liên kết proxy thông qua mạng quảng cáo để trốn tránh việc phát hiện và nắm bắt các phân tích về nạn nhân của chúng. Các chiến dịch được bắt đầu thông qua các tệp đính kèm PDF độc hại giả dạng thông báo lỗi OneDrive, dẫn đến phần mềm độc hại.

Bộ phận infosec của nhà sản xuất PC cũng nhấn mạnh việc lạm dụng các nền tảng hợp pháp như Discord để phát tán và phát tán phần mềm độc hại, một xu hướng ngày càng trở nên phổ biến trong những năm gần đây, khiến công ty phải chuyển sang liên kết tệp tạm thời vào cuối năm ngoái.

Intel 471 cho biết: “Discord được biết đến với cơ sở hạ tầng mạnh mẽ và đáng tin cậy và được nhiều người tin tưởng. "Các tổ chức thường đưa Discord vào danh sách cho phép, nghĩa là các liên kết và kết nối với nó không bị hạn chế. Điều này khiến cho sự phổ biến của nó đối với các tác nhân đe dọa không có gì đáng ngạc nhiên vì danh tiếng và mức độ sử dụng rộng rãi của nó."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...

03/12/2024 12:00:00 111
Nhiều người đã thử đủ mọi cách, thậm chí chia sẻ ảnh chụp màn hình chứa tin nhắn có tên này hoặc đổi...

Cuộc tấn công Microsoft 365 mới có thể p...

02/12/2024 12:00:00 97
Một cuộc tấn công phishing mới có thể truy cập vào tài khoản Microsoft 365, ngay cả khi mục tiêu đã ...

Người dùng chưa đủ 18 tuổi sẽ không được...

29/11/2024 12:00:00 86
Bộ lọc (filter) làm đẹp là một trong những tính năng quan trọng và gây nghiện cho đa số người dùng n...

Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...

28/11/2024 12:00:00 50
Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiế...

Kỹ thuật hack này có thể cách ly may tín...

27/11/2024 12:00:00 41
Để làm được điều đó, hacker sử dụng cáp SATA như là một ăng-ten không dây để truyền dữ liệu và thông...

Tính năng Email được bảo vệ mới của Gmai...

26/11/2024 08:00:00 40
Google đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh emai...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button