Ciberseguridad 360 | Ataques masivos de phishing por SMS con Xeon Sender y APIs en la nube

Actores maliciosos est�n utilizando una herramienta de ataque en la nube llamada Xeon Sender para llevar a cabo campa�as de phishing y spam por SMS a gran escala abusando de servicios leg�timos.

�Los atacantes pueden utilizar Xeon para enviar mensajes a trav�s de m�ltiples proveedores de software como servicio (SaaS) utilizando credenciales v�lidas para los proveedores de servicios�, afirma Alex Delamotte, investigador de seguridad de SentinelOne, en un informe compartido con The Hacker News.

Entre los servicios utilizados para facilitar la distribuci�n masiva de mensajes SMS figuran Amazon Simple Notification Service (SNS), Nexmo, Plivo, Proovl, Send99, Telesign, Telnyx, TextBelt y Twilio.

Es importante se�alar aqu� que la actividad no explota ninguna debilidad inherente a estos proveedores. M�s bien, la herramienta utiliza API leg�timas para llevar a cabo ataques masivos de spam SMS.

Se une a herramientas como SNS Sender, que se han convertido cada vez m�s en una forma de enviar mensajes masivos de smishing y, en �ltima instancia, capturar informaci�n confidencial de los objetivos.

Se distribuye a trav�s de Telegram y foros de hacking, y una de las versiones m�s antiguas se atribuye a un canal de Telegram dedicado a anunciar herramientas de hacking crackeadas. La versi�n m�s reciente, disponible para su descarga como archivo ZIP, se atribuye a un canal de Telegram llamado Orion Toolxhub (oriontoolxhub) que cuenta con 200 miembros.

Orion Toolxhub se cre� el 1 de febrero de 2023. Tambi�n ha puesto a disposici�n de forma gratuita otro software para ataques de fuerza bruta, b�squedas inversas de direcciones IP y otros, como un esc�ner de sitios WordPress, una shell web PHP, un clipper Bitcoin y un programa llamado YonixSMS que pretende ofrecer capacidades ilimitadas de env�o de SMS.

Xeon Sender tambi�n se conoce como XeonV5 y SVG Sender. Las primeras versiones de este programa basado en Python se detectaron en 2022. Desde entonces ha sido reutilizado por varios actores de amenazas para sus propios fines.

�Otra encarnaci�n de la herramienta est� alojada en un servidor web con una interfaz gr�fica de usuario�, dijo Delamotte. �Este m�todo de alojamiento elimina una posible barrera de acceso, permitiendo a los actores menos cualificados que pueden no sentirse c�modos con la ejecuci�n de herramientas Python y la soluci�n de problemas de sus dependencias�.

Xeon Sender, independientemente de la variante utilizada, ofrece a sus usuarios una interfaz de l�nea de comandos que puede utilizarse para comunicarse con las API de backend del proveedor de servicios elegido y orquestar ataques masivos de spam por SMS.

Esto tambi�n significa que los actores de la amenaza ya est�n en posesi�n de las claves API necesarias para acceder a los endpoints. Las solicitudes API manipuladas tambi�n incluyen el identificador del remitente, el contenido del mensaje y uno de los n�meros de tel�fono seleccionados de una lista predefinida presente en un archivo de texto.

Xeon Sender, adem�s de sus m�todos de env�o de SMS, incorpora funciones para validar las credenciales de cuentas Nexmo y Twilio, generar n�meros de tel�fono para un c�digo de pa�s y un c�digo de �rea determinados, y comprobar si un n�mero de tel�fono proporcionado es v�lido.

A pesar de la falta de delicadeza asociada a la herramienta, SentinelOne dijo que el c�digo fuente est� repleto de variables ambiguas como letras sueltas o una letra m�s un n�mero para hacer la depuraci�n mucho m�s dif�cil.

�Xeon Sender utiliza en gran medida bibliotecas Python espec�ficas del proveedor para elaborar las solicitudes API, lo que presenta interesantes desaf�os de detecci�n�, dijo Delamotte. �Cada biblioteca es �nica, al igual que los registros del proveedor. Puede ser dif�cil para los equipos detectar el abuso de un servicio determinado.�

�Para defenderse de amenazas como Xeon Sender, las organizaciones deben vigilar la actividad relacionada con la evaluaci�n o modificaci�n de los permisos de env�o de SMS o los cambios an�malos en las listas de distribuci�n, como una gran carga de nuevos n�meros de tel�fono de destinatarios.�

Fuente: thehackernews