Badacze SentinelOne zidentyfikowali skrypt Python używany w usłudze AWS Simple Notification Service (SNS) do wysyłania zmasowanych wiadomości SMS z linkami phishing’owymi. Kampania ma na celu pozyskanie danych osobowych oraz danych kart płatniczych pod przykrywką wiadomości od Poczty Stanów Zjednoczonych, która rzekomo wysyła monit o nieodebranej przesyłce. Skrypt umożliwia masowe spamowanie SMS’ami poprzez AWS SNS, linki phishing’owe znajdują się w pliku links.txt
WE-WY SNS Sender źródło SentinelOne
Funkcja send_sns_message konfiguruje klienta po stronie AWS -boto3, jest to interfejs pomiędzy skryptem Python’a a środowiskiem AWS i służy do wysyłania wiadomości SMS. Pętla while przegląda listę danych uwierzytelniających i regionów AWS, skrypt śledzi ilość dostępów do par kluczy AWS oraz ilość numerów telefonów już wykorzystanych. Każda wiadomość jest wysyłana przy użyciu poświadczeń z jednego wiersza listy par kluczy dostępu AWS.
Witryny phishing’owe
Kradzież danych osobowych źródło SentinelOne
Kradzież danych z karty płatniczej źrodło SentinelOne
Grupy cyberprzestępcze ciągle poszukują nowych narzędzi i platform, które mogą wykorzystać do przeprowadzenia skutecznego ataku. W tym przypadku cyberprzestępcy mieli dostęp do odpowiednio skonfigurowanej dzierżawy AWS SNS i skutecznie ją wykorzystali w swoim ataku.