Ein bösartiges Python-Skript namens SNS Sender wird als Möglichkeit beworben, Massen-Smishing-Nachrichten über den Missbrauch des Amazon Web Services (AWS) Simple Notification Service (SNS) zu senden. Die SMS-Phishing-Nachrichten sind darauf ausgelegt, bösartige Links zu verbreiten, die darauf abzielen, persönlich identifizierbare Informationen (PII) und Kreditkartendaten der Opfer zu erfassen. Der Sicherheitsforscher Alex Delamotte weist darauf hin, dass diese Smishing-Betrügereien häufig als Nachrichten von der United States Postal Service (USPS) getarnt sind, in denen es um eine verpasste Paketzustellung geht. SNS Sender ist auch das erste Werkzeug, das beobachtet wurde, wie es AWS SNS nutzt, um SMS-Spam-Angriffe durchzuführen. SentinelOne stellte fest, dass es Verbindungen zwischen ARDUINO_DAS und mehr als 150 zum Verkauf angebotenen Phishing-Kits identifiziert hat. Für die Verwendung des Malware-Skripts werden eine Liste von Phishing-Links in einer Datei namens links.txt im Arbeitsverzeichnis sowie eine Liste von AWS-Zugriffsschlüsseln, die Telefonnummern der Zielobjekte, die Sender-ID (auch bekannt als Anzeigename) und der Inhalt der Nachricht benötigt. Die Verwendung der Sender-ID für den Versand der betrügerischen Texte ist bemerkenswert, da die Unterstützung für Sender-IDs je nach Land variiert. Dies legt nahe, dass der Verfasser von SNS Sender wahrscheinlich aus einem Land stammt, in dem die Sender-ID eine gängige Praxis ist. Beweise deuten darauf hin, dass diese Operation seit mindestens Juli 2022 aktiv sein könnte, basierend auf Bankaufzeichnungen, die Verweise auf ARDUINO_DAS enthalten und in Carding-Foren wie Crax Pro geteilt wurden. Die meisten der Phishing-Kits haben das USPS-Thema und leiten Benutzer auf betrügerische Seiten weiter, auf denen sie aufgefordert werden, ihre persönlichen und Kredit-/Debitkartendaten einzugeben. Die Entdeckung zeigt die fortlaufenden Versuche von gewöhnlichen Bedrohungsakteuren, Cloud-Umgebungen für Smishing-Kampagnen auszunutzen. Darüber hinaus wurde ein neuer Dropper mit dem Codenamen TicTacToe entdeckt, der wahrscheinlich als Dienst an Bedrohungsakteure verkauft wird und 2023 verwendet wurde, um eine Vielzahl von Informationen stehlenden Malware und Remote Access Trojans (RATs) zu verbreiten. Fortinet FortiGuard Labs wies darauf hin, dass diese Malware durch eine vierstufige Infektionskette verbreitet wird, die mit einer ISO-Datei beginnt, die in E-Mail-Nachrichten eingebettet ist. Außerdem nutzen Bedrohungsakteure immer häufiger Werbenetzwerke, um effektive Spam-Kampagnen durchzuführen und Malware wie DarkGate zu verteilen. Die Sicherheitsabteilung des PC-Herstellers stellte auch die missbräuchliche Nutzung von legitimen Plattformen wie Discord zur Inszenierung und Verteilung von Malware heraus. Discord ist aufgrund seiner robusten und zuverlässigen Infrastruktur weit verbreitet und wird häufig vertraut. Aufgrund seines guten Rufes und der weitverbreiteten Nutzung ist es nicht überraschend, dass es bei Bedrohungsakteuren beliebt ist.