Los actores de amenazas están explotando una herramienta en la nube llamada Xeon Sender para llevar a cabo campañas de phishing y spam de SMS a gran escala, utilizando servicios legítimos. Según el investigador de seguridad de SentinelOne, Alex Delamotte, los atacantes pueden aprovechar Xeon para enviar mensajes a través de múltiples proveedores de servicios SaaS con credenciales válidas.
Entre los servicios utilizados para la distribución masiva de mensajes SMS se encuentran Amazon Simple Notification Service (SNS), Nexmo, Plivo, Proovl, Send99, Telesign, Telnyx y Twilio. Es crucial destacar que esta actividad no aprovecha las debilidades de estos proveedores, sino que utiliza sus APIs legítimas para ejecutar estos ataques masivos de spam de SMS.
Además, se suma a herramientas como SNS Sender, que se han convertido cada vez más en una forma de enviar mensajes de smishing masivos y, en última instancia, capturar información delicada de los objetivos. La versión más reciente de Xeon Sender, distribuida a través de Telegram y foros de piratería, es atribuida al canal de Telegram Orion Toolxhub y está disponible para su descarga como un archivo ZIP.
Orion Toolxhub, creado el 1 de febrero de 2023, ha puesto a disposición de forma gratuita otro software para ataques de fuerza bruta, búsquedas inversas de direcciones IP, un escáner de sitios de WordPress, un shell web de PHP, un Bitcoin clipper y un programa llamado YonixSMS que ofrece capacidades de envío de SMS ilimitadas.
Xeon Sender, también conocido como XeonV5 y SVG Sender, ha sido detectado desde 2022 y ha sido utilizado por varios actores de amenazas para sus propios fines. Según Delamotte, el programa ofrece una interfaz de línea de comandos que se puede utilizar para comunicarse con las API del proveedor de servicios y llevar a cabo ataques de spam de SMS a gran escala.
A pesar de la falta de refinamiento asociada con la herramienta, el código fuente de Xeon Sender está lleno de variables ambiguas para hacer que la depuración sea más desafiante. Esto presenta desafíos a los equipos de detección de abuso de servicios, ya que cada biblioteca y proveedor es único, dificultando la detección del abuso de un servicio específico.
En resumen, para defenderse contra amenazas como Xeon Sender, las organizaciones deben monitorear la actividad relacionada con la evaluación o modificación de permisos para enviar SMS y los cambios anómalos en las listas de distribución. Estas acciones incluyen una carga inusual de nuevos números de teléfono de destinatarios.
Vía The Hacker News
