03/11/21
Специалисты «Лаборатории Касперского» сообщили , что легитимный токен Amazon Simple Email Service (SES), выданный стороннему подрядчику, недавно использовался злоумышленниками в рамках целевой фишинговой кампании, нацеленной на пользователей Microsoft Office 365.
Amazon SES — масштабируемый почтовый сервис, позволяющий разработчикам отправлять электронные письма из любого приложения для различных вариантов использования, включая маркетинг и массовые рассылки по электронной почте.
Эксперты связали фишинговые кампании с несколькими киберпреступниками, которые использовали два набора инструментов для фишинга — один под названием Iamtheboss, а другой под названием MIRCBOOT.
«Токен доступа был выдан стороннему подрядчику во время тестирования web-сайта 2050.earth. Сайт также размещен в инфраструктуре Amazon. После обнаружения этих фишинговых атак токен SES был немедленно отозван. На 2050.earth и связанных сервисах не было обнаружено взлома сервера, несанкционированного доступа к базе данных или какой-либо другой злонамеренной активности», — пояснили специалисты.
Злоумышленники не пытались выдать себя за «Лабораторию Касперского» и решили замаскировать свои фишинговые сообщения как пропущенные факсимильные уведомления, перенаправляя потенциальных жертв на фишинговые целевые страницы, предназначенные для хищения учетных данных пользователей Microsoft Office 365. Мошенники использовали официальную электронную почту «Лаборатории Касперского» и отправляли электронные письма из инфраструктуры Amazon Web Services, обходя большинство средств защиты Secure Email Gateway (SEG).
