Os criminosos estão passando e-mails de phishing por scanners de segurança automatizados dentro da Amazon Web Services (AWS) para estabelecer uma plataforma de lançamento para ataques.
Os golpistas se apegaram à capacidade de as pessoas usarem um serviço da AWS para construir e hospedar páginas da web usando o WordPress ou seu próprio código personalizado. A partir daí, eles podem enviar mensagens de phishing com o nome da AWS para sistemas de e-mail corporativos para passar por scanners que normalmente bloqueariam mensagens suspeitas e adicionar maior legitimidade para enganar as vítimas, de acordo com o fornecedor de segurança de e-mail Avanan.
)Em um relatório desta semana, pesquisadores da Avanan – adquirida no ano passado pela empresa de segurança cibernética Check Point – delinearam uma campanha de phishing que usa AWS e construção de sintaxe incomum nas mensagens para passar por scanners.
“Email serviços que usam listas estáticas de permissão ou bloqueio para determinar se o conteúdo de e-mail é seguro ou não não são imunes a esses ataques”, escreveram eles. “Essencialmente, esses serviços determinarão se um site é seguro ou não. A Amazon Web Services sempre será marcada como segura. É muito grande e prevalente para bloquear.”
Pegando carona em uma marca conhecida nomes para campanhas de phishing não são incomuns. Este ano, a Avanan documentou esses esforços utilizando QuickBooks, PayPal e Google Docs para garantir que as mensagens cheguem a uma caixa de entrada.
Agora, a nuvem pública é um veículo e usar a AWS faz sentido. É o maior player de nuvem pública, possuindo um terço de um mercado global de infraestrutura de nuvem que gerou quase US$ 55 bilhões no segundo trimestre, de acordo com o Synergy Research Group. Combinados, AWS, Microsoft Azure e Google Cloud respondem por 65% do espaço.
“Ataques usando nuvem pública estão se tornando comuns por vários motivos, em parte porque a infraestrutura é tão transitória, sistemas de reputação Podemos bloquear provedores de hospedagem à prova de balas, mas não podemos simplesmente bloquear a AWS”, disse John Bambenek, principal caçador de ameaças da Netenrich. “Esses serviços são baratos, fáceis de usar e podem ativar e desativar serviços rapidamente. Nuvens públicas geralmente são colocadas na lista de permissões, então a reputação de IP não funciona, e as pessoas estão se acostumando cada vez mais com serviços em nuvens públicas, então não pareço suspeito.”
A tendência só vai crescer, de acordo com Davis McCarthy, principal pesquisador de segurança da Valtix.
“À medida que a empresa abraça as múltiplas nuvens, os cibercriminosos terão mais opções para escolher e abusar”, disse McCarthy. “Beneficiando-se da falta de visibilidade e da topologia desarticulada, as superfícies de ataque serão difíceis de identificar. As organizações precisarão padronizar a segurança nas nuvens e ter a capacidade de consolidar a visibilidade para garantir que os processos de prevenção e detecção sejam implementados com eficiência.”
Os cibercriminosos estão “criando páginas de phishing na AWS usando a legitimidade do site para roubar credenciais”, escreveram os pesquisadores da Avanan. “Enviar um link para esta página por e-mail é uma forma de contornar os scanners e fazer com que os usuários entreguem as credenciais.”
Eles apontaram para uma campanha em que o cibercriminoso enviou uma mensagem de phishing criada e hospedada na AWS informando aos destinatários que sua senha estava prestes a expirar. O e-mail veio com um logotipo da Microsoft e instruiu o usuário a clicar em um botão para manter ou alterar a senha.
O uso do nome da AWS não é a única tática para passar pelos scanners , segundo os pesquisadores. Eles também usam conteúdo incomum no texto do e-mail para confundir os scanners, escreveram. Quando a mensagem no exemplo foi aberta, o texto não estava relacionado ao ataque. Em vez disso, foi escrito em espanhol que, quando traduzido, fala sobre uma cotação de preço para um “sistema de monitoramento de terremoto”. inclui o nome de domínio da empresa da vítima e a maioria dos campos preenchidos. O usuário é solicitado apenas a digitar sua senha. Se isso for feito, os golpistas podem roubar as credenciais.
“Com um acesso fácil à caixa de entrada, além de um baixo aumento de usuários finais, esse tipo de ataque pode ser bastante bem-sucedido para hackers”, os pesquisadores escreveram, que acrescentaram que notificaram a Amazon sobre o que encontraram.
Os pesquisadores da Avanan escreveram que os usuários corporativos precisam passar o mouse sobre os links para ver o URL de destino antes de clicar nele e ver o conteúdo do e-mail antes de clicar nele. Hank Schless, gerente sênior de soluções de segurança da Lookout, disse que os gateways da Web seguros (SWGs) podem ajudar a identificar comportamentos de risco na rede além do que os scanners típicos fazem. Se fizerem parte de uma plataforma de segurança em nuvem maior, os administradores podem implementar mais ferramentas de proteção de dados para identificar comportamentos de risco, mesmo que sejam provenientes de uma fonte legítima.
A automação também é fundamental, dada a falta de recursos internos habilidades para executar o monitoramento contínuo, de acordo com Ryan McCurdy, vice-presidente de marketing da Bolster.
“Além disso, eles não têm relacionamentos nem acesso para realizar as remoções, como solicitar um provedor de serviços de Internet derrubar um site falso, muito menos ter acesso a fóruns clandestinos e salas de bate-papo, o que não é algo que pode ser adquirido da noite para o dia”, disse McCurdy. “É fundamental que as empresas adotem uma abordagem de plataforma e aproveitem a automação para detectar, analisar e derrubar sites e conteúdos fraudulentos na web, mídia social, lojas de aplicativos e na dark web”. ®
