I criminali informatici stanno utilizzando uno strumento di attacco basato su cloud chiamato Xeon Sender per condurre campagne di phishing tramite SMS e spam su larga scala, abusando di servizi legittimi.
Xeon Sender: il suo funzionamento
“Gli aggressori possono utilizzare Xeon per inviare messaggi attraverso più fornitori di software-as-a-service (SaaS) utilizzando credenziali valide per i fornitori di servizi“, ha affermato Alex Delamotte, ricercatore di sicurezza di SentinelOne, in un rapporto.
Esempi dei servizi utilizzati per facilitare la distribuzione di massa dei messaggi SMS includono Amazon Simple Notification Service (SNS), Nexmo, Plivo, Proovl, Send99, Telesign, Telnyx, TextBelt, Twilio.
È importante notare che questa attività non sfrutta alcuna vulnerabilità intrinseca di questi fornitori. Piuttosto, lo strumento utilizza API legittime per condurre attacchi di spam tramite SMS in massa.
Si unisce a strumenti come SNS Sender che sono diventati un modo sempre più utilizzato per inviare messaggi di smishing (phishing via SMS) in massa e, in ultima analisi, catturare informazioni sensibili dalle vittime.
La distribuzione di Xeon Sender
Distribuito tramite Telegram e forum di hacking, una delle versioni più vecchie accredita un canale Telegram dedicato alla pubblicizzazione di strumenti di hacking craccati; l’ultima versione, disponibile per il download come file ZIP, si attribuisce a un canale Telegram chiamato Orion Toolxhub (oriontoolxhub) che conta 200 membri.
Orion Toolxhub è stato creato il 1 febbraio 2023 e ha anche reso disponibile gratuitamente altri software per attacchi brute-force, ricerche inverse di indirizzi IP, e altri come uno scanner per siti WordPress, una web shell PHP, un clipper per Bitcoin e un programma chiamato YonixSMS che afferma di offrire capacità illimitate di invio di SMS.
Xeon Sender è anche noto come XeonV5 e SVG Sender. Le prime versioni del programma basato su Python sono state rilevate già nel 2022; da allora, è stato riproposto da diversi criminali informatici per i propri scopi.
Lo strano sito web dove è ospitata una variante di codesto strumento
“Un’altra incarnazione dello strumento è ospitata su un server web con un’interfaccia grafica“, ha detto Delamotte. “Questo metodo di hosting rimuove una potenziale barriera di accesso, permettendo ad hacker meno esperti, che potrebbero non sentirsi a loro agio nell’usare strumenti Python e risolvere i loro problemi di dipendenze, di accedervi.”
Xeon Sender, indipendentemente dalla variante utilizzata, offre ai suoi utenti un’interfaccia a riga di comando che può essere utilizzata per comunicare con le API backend del fornitore di servizi scelto e orchestrare attacchi di spam SMS in massa.
Ciò significa anche che i criminali informatici sono già in possesso delle chiavi API necessarie per accedere ai punti di accesso; le richieste API create includono anche l’ID del mittente, il contenuto del messaggio e uno dei numeri di telefono selezionati da una lista predefinita presente in un file di testo.
Xeon Sender, oltre ai suoi metodi di invio SMS, incorpora funzioni per validare le credenziali degli account Nexmo e Twilio, generare numeri di telefono per un dato prefisso internazionale e prefisso area, e verificare se un numero di telefono fornito è valido.
Nonostante la mancanza di raffinatezza associata allo strumento, SentinelOne ha affermato che il codice sorgente è pieno di variabili ambigue come singole lettere o una lettera seguita da un numero, rendendo il debug molto più difficile.
“Xeon Sender utilizza in gran parte librerie Python specifiche del fornitore per creare richieste API, il che presenta sfide interessanti per il rilevamento“, ha detto Delamotte. “Ogni libreria è unica, così come i log del fornitore. Potrebbe essere difficile per i team rilevare l’abuso di un determinato servizio.“
Delamotte ha poi concluso dicendo che “Per difendersi da minacce come Xeon Sender, le organizzazioni dovrebbero monitorare le attività relative alla valutazione o modifica delle autorizzazioni di invio di SMS o cambiamenti anomali alle liste di distribuzione, come un grande caricamento di nuovi numeri di telefono destinatari.”