Um script Python malicioso, conhecido como “SNS Sender”, está sendo promovido como uma ferramenta para atores de ameaças enviarem mensagens de smishing em massa, abusando do Amazon Web Services (AWS) Simple Notification Service (SNS).

As mensagens de phishing por SMS são projetadas para propagar links maliciosos que visam capturar informações pessoais identificáveis e detalhes de cartões de pagamento. Os golpes de smishing muitas vezes se disfarçam de mensagens do Serviço Postal dos Estados Unidos (USPS) sobre uma entrega de pacote perdida.

O SNS Sender também é a primeira ferramenta observada em uso prático que aproveita o AWS SNS para realizar ataques de spam por SMS. A SentinelOne identificou ligações entre ARDUINO_DAS e mais de 150 kits de phishing oferecidos para venda.

O malware requer uma lista de links de phishing armazenados em um arquivo chamado links.txt em seu diretório de trabalho, além de uma lista de chaves de acesso AWS, os números de telefone alvo, o ID do remetente (também conhecido como nome de exibição) e o conteúdo da mensagem. A inclusão obrigatória do ID do remetente para enviar os textos de golpe é notável porque o suporte para IDs de remetente varia de país para país, sugerindo que o autor do SNS Sender provavelmente é de um país onde o ID do remetente é uma prática convencional.