«Лаборатория Касперского» сообщила, что ее легитимный токен Amazon Simple Email Service (SES), ранее выданный стороннему подрядчику, использовался злоумышленниками в рамках фишинговой кампании, нацеленной на пользователей Office 365.
Amazon SES — масштабируемая почтовая служба, позволяющая разработчикам отправлять электронные письма из любого приложения, включая маркетинг и массовые рассылки.
Эксперты связывают эти фишинговые атаки с несколькими преступными группами, которые использовали для атак два фишинг-кита: Iamtheboss и MIRCBOOT .
«Этот токен был выдан стороннему подрядчику во время тестирования сайта 2050.earth. Сайт так же размещен в инфраструктуре Amazon. После обнаружения фишинговых атак токен SES был немедленно отозван. На 2050.earth и связанных сервисах не было обнаружено признаков взлома сервера, несанкционированного доступа к БД и какой-либо другой вредоносной активности», —гласит сообщение компании.
Злоумышленники не пытались выдать себя за «Лабораторию Касперского» и маскировали свои сообщения под пропущенные уведомления от факсов, перенаправляя потенциальных жертв на фишинговые страницы, предназначенные для сбора их учетных данных.
При этом преступники использовали официальную почту «Лаборатории Касперского» и отправляли письма из инфраструктуры Amazon Web Services, что, вероятно, помогло им обойти большинство средств защиты Secure Email Gateway (SEG).
«Такие электронные письма имеют разные адреса отправителей, включая, помимо прочего, noreply@sm.kaspersky.com», — предупредили в «Лаборатории Касперского».