Skrypt SNS Sender wykorzystywany do masowych kampanii Smishing’owych

Badacze SentinelOne zidentyfikowali skrypt Python używany w usłudze AWS Simple Notification Service (SNS) do wysyłania zmasowanych wiadomości SMS z linkami phishing’owymi. Kampania ma na celu pozyskanie danych osobowych oraz danych kart płatniczych pod przykrywką wiadomości od Poczty Stanów Zjednoczonych, która rzekomo wysyła monit o nieodebranej przesyłce. Skrypt umożliwia masowe spamowanie SMS’ami poprzez AWS SNS, linki phishing’owe znajdują się w pliku links.txt

WE-WY SNS Sender źródło SentinelOne

Funkcja send_sns_message konfiguruje klienta po stronie AWS -boto3, jest to interfejs pomiędzy skryptem Python’a a środowiskiem AWS i służy do wysyłania wiadomości SMS. Pętla while przegląda listę danych uwierzytelniających i regionów AWS, skrypt śledzi ilość dostępów do par kluczy AWS oraz ilość numerów telefonów już wykorzystanych. Każda wiadomość jest wysyłana przy użyciu poświadczeń z jednego wiersza listy par kluczy dostępu AWS.

Witryny phishing’owe

Kradzież danych osobowych źródło SentinelOne

Kradzież danych z karty płatniczej źrodło SentinelOne

Grupy cyberprzestępcze ciągle poszukują nowych narzędzi i platform, które mogą wykorzystać do przeprowadzenia skutecznego ataku. W tym przypadku cyberprzestępcy mieli dostęp do odpowiednio skonfigurowanej dzierżawy AWS SNS i skutecznie ją wykorzystali w swoim ataku.