2026-05-04 00:00
← VoltarA empresa de segurança cibernética Kaspersky relata que o Amazon Simple Email Service (SES) está sendo cada vez mais utilizado para enviar e-mails de phishing convincentes que podem contornar os filtros de segurança padrão e tornar ineficazes os bloqueios baseados em reputação. Embora o recurso tenha sido aproveitado para atividades maliciosas no passado, a Kaspersky diz que o aumento atual pode ser devido a um grande número de chaves de acesso do AWS Identity and Access Management expostas em ativos públicos. Por ser um recurso legítimo e confiável, as operações de phishing podem aproveitar o Amazon SES para enviar e-mails maliciosos que passam nas verificações de autenticação. Os pesquisadores da Kaspersky observaram em um relatório hoje que “observaram um aumento nos ataques de phishing que aproveitam o Amazon SES” para fornecer links que redirecionam para um site malicioso. Cabeçalhos em e-mails de phishing Fonte: Kaspersky Os pesquisadores acreditam que o principal motivo desse abuso é a crescente exposição de credenciais da AWS em repositórios GitHub, arquivos .ENV, imagens Docker, backups e buckets S3 acessíveis publicamente. Encontrar as chaves de acesso normalmente é feito de forma automatizada, usando bots criados no utilitário de código aberto TruffleHog, projetado para verificar segredos vazados. Os atores de ameaças agora contam com ataques automatizados que agilizam a verificação secreta, a validação de permissões e a distribuição de e-mails, permitindo níveis...
A empresa de segurança cibernética Kaspersky relata que o Amazon Simple Email Service (SES) está sendo cada vez mais utilizado para enviar e-mails de phishing convincentes que podem contornar os filtros de segurança padrão e tornar ineficazes os bloqueios baseados em reputação. Embora o recurso tenha sido aproveitado para atividades maliciosas no passado, a Kaspersky diz que o aumento atual pode ser devido a um grande número de chaves de acesso do AWS Identity and Access Management expostas em ativos públicos. Por ser um recurso legítimo e confiável, as operações de phishing podem aproveitar o Amazon SES para enviar e-mails maliciosos que passam nas verificações de autenticação. Os pesquisadores da Kaspersky observaram em um relatório hoje que “observaram um aumento nos ataques de phishing que aproveitam o Amazon SES” para fornecer links que redirecionam para um site malicioso. Cabeçalhos em e-mails de phishing Fonte: Kaspersky Os pesquisadores acreditam que o principal motivo desse abuso é a crescente exposição de credenciais da AWS em repositórios GitHub, arquivos .ENV, imagens Docker, backups e buckets S3 acessíveis publicamente. Encontrar as chaves de acesso normalmente é feito de forma automatizada, usando bots criados no utilitário de código aberto TruffleHog, projetado para verificar segredos vazados. Os atores de ameaças agora contam com ataques automatizados que agilizam a verificação secreta, a validação de permissões e a distribuição de e-mails, permitindo níveis de abuso sem precedentes. “Depois de verificar as permissões da chave e os limites de envio de e-mail, os invasores estão preparados para espalhar um grande volume de mensagens de phishing”, explica Kaspersky.
Com base em suas descobertas, os pesquisadores afirmam que a qualidade do phishing é alta, apresentando modelos HTML personalizados que imitam serviços reais e fluxos de login realistas. Os ataques observados incluem notificações falsas de assinatura de documentos que imitam o DocuSign para levar as vítimas a páginas de phishing hospedadas na AWS, bem como ataques mais avançados de comprometimento de e-mail comercial (BEC). Os invasores fabricam sequências inteiras de e-mail para fazer com que as mensagens de phishing pareçam mais convincentes e enviam faturas falsas para enganar os departamentos financeiros para que efetuem pagamentos. Documentos fabricados que apoiam os ataques BEC Fonte: Kaspersky Ao aproveitar o Amazon SES, os invasores não precisam mais se preocupar com verificações de autenticação, como os protocolos SPF, DKIM e DMARC. Além disso, bloquear os endereços IP ofensivos que entregam os e-mails de phishing não é uma solução aceitável porque impediria que todos os e-mails chegassem pelo Amazon SES. Os atores da ameaça não estão se concentrando apenas no Amazon SES. Eles estão constantemente tentando encontrar maneiras de abusar de outros sistemas de e-mail legítimos para enviar mensagens de phishing. A Kaspersky recomenda que as empresas restrinjam as permissões IAM com base nos princípios de “privilégio mínimo”, habilitem a autenticação multifator, alternem chaves regularmente e apliquem restrições de acesso baseadas em IP e controles de criptografia.
Em comunicado ao BleepingComputer, a Amazon apontou suas orientações de segurança sobre credenciais expostas e proteção contra acesso não autorizado a contas. A empresa também afirmou que é rápida em reagir a denúncias de possíveis violações dos termos de serviço e tomar as medidas cabíveis. “Se alguém suspeitar que os recursos da AWS estão sendo usados para atividades abusivas, poderá denunciá-lo ao AWS Trust & Safety”, disse um porta-voz da AWS ao BleepingComputer. Atualização [4 de maio, 16h59 EST]: Artigo atualizado com informações do comunicado da Amazon. Atualização [5 de maio, 11h50 EST]: Adicionada uma atualização e corrigido o lede para refletir que o aumento do abuso é baseado em dados de telemetria da Kaspersky e não é uma tendência geral.