Hackers χρησιμοποιούν ένα κακόβουλο εργαλείο cloud, που ονομάζεται Xeon Sender, για να διεξάγουν SMS phishing και spam επιθέσεις σε μεγάλη κλίμακα, κάνοντας κατάχρηση νόμιμων υπηρεσιών.

Οι εισβολείς μπορούν να χρησιμοποιήσουν το Xeon για να στείλουν μηνύματα μέσω πολλών παρόχων software-as-a-service (SaaS), χρησιμοποιώντας έγκυρα διαπιστευτήρια για τους παρόχους υπηρεσιών“, δήλωσε ο ερευνητής ασφάλειας της SentinelOne, Alex Delamotte.

Δείτε επίσης: Phishing απάτη στοχεύει χρήστες OneDrive για εκτέλεση κακόβουλου PowerShell script

Υπηρεσίες που χρησιμοποιούνται για τη διευκόλυνση της μαζικής διανομής των phishing και spam μηνυμάτων SMS, περιλαμβάνουν τις Amazon Simple Notification Service (SNS), Nexmo, Plivo, Proovl, Send99, Telesign, Telnyx, TextBelt και Twilio. Ωστόσο, οι hackers δεν εκμεταλλεύονται αδυναμίες σε αυτές τις υπηρεσίες. Το Xeon Sender χρησιμοποιεί νόμιμα API για τη διεξαγωγή μαζικών SMS spam επιθέσεων.

Το Xeon Sender διανέμεται μέσω του Telegram και hacking φόρουμ. Η πιο πρόσφατη έκδοση, διαθέσιμη για λήψη ως αρχείο ZIP, αποδίδεται σε ένα κανάλι Telegram που ονομάζεται Orion Toolxhub (oriontoolxhub). Το Orion Toolxhub δημιουργήθηκε την 1η Φεβρουαρίου 2023 και έχει 200 μέλη. Κατά καιρούς, έχι χρησιμοποιηθεί και για τη διανομή άλλων κακόβουλων προγραμμάτων.

Το Xeon Sender αναφέρεται επίσης ως XeonV5 και SVG Sender και είναι γραμμένο σε Python. Πρώιμες εκδόσεις του προγράμματος έχουν εντοπιστεί ήδη από το 2022. Έκτοτε έχει επαναχρησιμοποιηθεί από αρκετούς φορείς απειλών για διαφορετικούς κακόβουλους σκοπούς.

Δείτε επίσης: Proofpoint: Χάκερς εκμεταλλεύτηκαν σφάλμα για αποστολή Phishing email

Μια άλλη έκδοση του εργαλείου φιλοξενείται σε έναν web server με GUI“, είπε ο Delamotte. Σύμφωνα με τον ειδικό, αυτή η μέθοδος φιλοξενίας καταργεί ένα πιθανό εμπόδιο στην πρόσβαση, βοηθώντας επιτιθέμενους χαμηλότερης ειδίκευσης που μπορεί να μην ασχολούνται με την εκτέλεση εργαλείων Python.

Το Xeon Sender, ανεξάρτητα από την παραλλαγή που χρησιμοποιείται, προσφέρει στους χρήστες ένα command-line interface που μπορεί να χρησιμοποιηθεί για την επικοινωνία με τα backend API του επιλεγμένου παρόχου υπηρεσιών και την ενορχήστρωση μαζικών SMS spam επιθέσεων.

Αυτό σημαίνει ότι οι επιτιθέμενοι διαθέτουν ήδη τα απαραίτητα API keys για πρόσβαση στα τελικά σημεία. Τα δημιουργημένα API requests περιλαμβάνουν επίσης το sender ID, τα περιεχόμενα του μηνύματος και έναν από τους αριθμούς τηλεφώνου που έχουν επιλεγεί από μια προκαθορισμένη λίστα που υπάρχει σε ένα αρχείο κειμένου.

Το Xeon Sender διαθέτει και λειτουργίες για την επικύρωση των διαπιστευτηρίων λογαριασμών Nexmo και Twilio, τη δημιουργία αριθμών τηλεφώνου για έναν δεδομένο κωδικό χώρας και κωδικό περιοχής και τον έλεγχο της εγκυρότητας ενός αριθμού τηλεφώνου.

Εξετάζονται τον source code του εργαλείου, η SentinelOne διαπίστωσε ότι είναι δημιουργημένος ώστε να καθιστά το debugging πολύ πιο δύσκολο.

Ο ερευνητής λέει ότι η άμυνα ενάντια σε αυτή την απειλή (Xeon Sender) περιλαμβάνει την παρακολούθηση της δραστηριότητας που σχετίζεται με την αξιολόγηση ή την τροποποίηση των αδειών αποστολής SMS καθώς και την παρατήρηση αλλαγών στις λίστες διανομής (π.χ.μια μεγάλη μεταφόρτωση νέων αριθμών τηλεφώνου παραληπτών).

Δείτε επίσης: Νέα υπηρεσία για hackers συνδυάζει phishing kits και κακόβουλα Android apps

Οι επιπτώσεις του εργαλείου Xeon Sender είναι σημαντικές, ιδίως όσον αφορά την ασφάλεια στον κυβερνοχώρο και το απόρρητο των πληροφοριών. Καθώς αξιοποιεί νόμιμες υπηρεσίες, ο εντοπισμός αυτού του είδους των επιθέσεων γίνεται όλο και πιο περίπλοκος. Οι εταιρείες και τα άτομα πρέπει να παραμείνουν σε επαγρύπνηση και να υιοθετήσουν ισχυρές πρακτικές ασφαλείας για να μετριάσουν τον κίνδυνο να πέσουν θύματα τέτοιων phising και spam επιθέσεων.

Οι τακτικές ενημερώσεις στα φίλτρα ανεπιθύμητης αλληλογραφίας, η συνεχής παρακολούθηση των εισερχόμενων μηνυμάτων και η εκπαίδευση των χρηστών σχετικά με τους κινδύνους phishing μπορούν να διαδραματίσουν καθοριστικό ρόλο στη διαφύλαξη ευαίσθητων πληροφοριών. Επιπλέον, είναι σημαντικό για τους παρόχους υπηρεσιών να βελτιώσουν τους μηχανισμούς επαλήθευσης ταυτότητας και να παρακολουθούν για ασυνήθιστες δραστηριότητες που σχετίζονται με τη χρήση API για να αποτρέψουν την εκμετάλλευση από εγκληματίες στον κυβερνοχώρο.

Επιπλέον, τα άτομα πρέπει να είναι προσεκτικά σχετικά με την κοινή χρήση ευαίσθητων πληροφοριών μέσω μηνυμάτων SMS και να επαληθεύουν πάντα την αυθεντικότητα του αποστολέα πριν απαντήσουν σε οποιαδήποτε αιτήματα για προσωπικές ή οικονομικές πληροφορίες.

Πηγή: thehackernews.com