Киберпреступники использовали украденный легитимный токен Amazon Simple Email Service (SES), выпущенный сторонним подрядчиком для «Лаборатории Касперского». Этот токен злоумышленники использовали для целевого фишинга, направленного на пользователей Office 365.
Amazon SES — один из облачных сервисов интернет-гиганта Джеффа Безоса, который позволяет разработчикам отправлять электронные письма из любого приложения. Этот сервис часто используют для массовых рассылок.
Специалисты «Лаборатории Касперского» обратили внимание на активность злоумышленников, использующих два набора для фишинга: Iamtheboss и MIRCBOOT. В этой кампании преступники как раз использовали легитимный токен Amazon SES.
«Этот токен выпустил сторонний подрядчик, когда мы тестировали веб-сайт 2050.earth (ресурс также размещался в инфраструктуре Amazon). Сразу после обнаружения фишинговых атак токен отозвали», — объясняет Kaspersky.
«Обращаем внимание, что в случае 2050.earth и смежных сервисов мы не выявили никакой компрометации сервера, несанкционированного доступа к базе данных и тому подобной вредоносной активности».
Также представители антивирусной компании отметили, что фишеры маскировали свои письма под «уведомления от факса» и заманивали жертв на фейковые сайты, собирающие учётные данные владельцев аккаунтов в системе Microsoft.
