29.9 C
São Paulo
quarta-feira, março 12, 2025
InícioCibersegurançaHackers exploram falhas na AWS para aplicar golpes de phishing
CibersegurançaSegurança Digital

Hackers exploram falhas na AWS para aplicar golpes de phishing

Natália Oliveira
Por Natália Oliveira
Imagem realista de um hacker encapuzado explorando falhas na AWS para aplicar golpes de phishing. O ambiente escuro é iluminado por telas de computador exibindo painéis da AWS, alertas vermelhos e e-mails fraudulentos sendo enviados. O cenário reforça a ameaça da cibersegurança com tons neon azul e vermelho refletindo no ambiente de alta tecnologia.
Imagem gerada por Inteligência Artificial

Recentemente, especialistas identificaram que hackers exploram falhas na AWS para aplicar golpes de phishing, aproveitando configurações incorretas em serviços como Amazon Simple Email Service (SES) e WorkMail. Esse método permite que criminosos enviem e-mails fraudulentos sem a necessidade de infraestrutura própria, dificultando a detecção e amplificando o impacto das ameaças.

Como os hackers estão explorando a AWS?

Diferente de vulnerabilidades diretamente relacionadas à AWS, os ataques ocorrem devido a configurações inadequadas realizadas pelas próprias vítimas. Isso resulta na exposição de chaves de acesso, permitindo que criminosos manipulem serviços legítimos para disparar mensagens fraudulentas. Essa técnica facilita a infiltração e reduz as chances de bloqueio, pois os e-mails são enviados de domínios confiáveis.

A Unidade 42 da Palo Alto Networks rastreou essas atividades e identificou um grupo denominado TGR-UNK-0011, com características semelhantes ao JavaGhost. Essa ameaça está ativa desde 2019 e se aperfeiçoou ao longo do tempo, incorporando táticas avançadas de evasão e persistência dentro de ambientes AWS comprometidos.

A evolução das estratégias cibercriminosas

Entre 2022 e 2024, a metodologia desse grupo evoluiu significativamente. O JavaGhost se aproveita de credenciais expostas de longo prazo pertencentes a usuários IAM (Identity and Access Management), acessando os sistemas via AWS CLI (Command Line Interface). Esse método complica a detecção, pois os invasores utilizam comandos que mascaram sua identidade nos registros de atividade.

Uma das principais mudanças observadas foi a adoção de técnicas inspiradas no Scattered Spider, um grupo notório por ocultar rastros no AWS CloudTrail. Uma vez dentro do ambiente da vítima, os hackers criam credenciais temporárias e URLs de login que garantem acesso contínuo à conta comprometida.

O papel do SES e WorkMail nos ataques

Com as permissões obtidas, os hackers configuram usuários no Amazon SES e WorkMail, criando credenciais SMTP (Simple Mail Transfer Protocol) para disparar e-mails maliciosos. O objetivo é simular mensagens legítimas de fontes confiáveis, aumentando a eficácia dos ataques e reduzindo a probabilidade de bloqueio pelos filtros de segurança.

Essa abordagem permite que os criminosos abusem da infraestrutura da AWS sem levantar suspeitas imediatas. Durante essa operação, novos usuários IAM são criados, alguns sendo utilizados para ataques diretos e outros para manutenção do acesso a longo prazo, garantindo persistência dentro do sistema afetado.

Como se proteger contra esses ataques?

Para evitar que hackers explorem falhas na AWS, empresas e administradores de sistemas precisam adotar práticas de segurança rigorosas. Algumas estratégias essenciais incluem:

1. Implementação de políticas de segurança IAM rígidas

  • Utilize o Princípio do Menor Privilégio, garantindo que cada usuário tenha apenas as permissões estritamente necessárias para sua função.
  • Revise e remova periodicamente credenciais não utilizadas ou desnecessárias.
  • Ative MFA (Autenticação Multifator) para todas as contas privilegiadas.

2. Monitoramento contínuo de credenciais e atividades

  • Utilize serviços como AWS Config, CloudTrail e GuardDuty para rastrear atividades suspeitas.
  • Configure alertas para detectar a criação inesperada de usuários IAM e credenciais SMTP.
  • Realize auditorias frequentes para identificar acessos não autorizados.

3. Proteção avançada para serviços de e-mail

  • Limite o uso do SES e WorkMail apenas para domínios verificados.
  • Configure regras rigorosas de autenticação de e-mail, como SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance).

4. Restrições para a AWS CLI e API

  • Utilize restrições geográficas e listas de IP permitidos para limitar o acesso ao ambiente AWS.
  • Implemente chaves de acesso temporárias, evitando o uso de credenciais de longo prazo.
  • Desative credenciais IAM inativas imediatamente.

5. Treinamento e conscientização dos colaboradores

  • Promova treinamentos periódicos sobre phishing e boas práticas de segurança.
  • Simule ataques controlados para testar a capacidade de resposta dos funcionários.
  • Mantenha canais de denúncia internos para relatar atividades suspeitas.

Os ataques cibernéticos estão cada vez mais sofisticados e hackers exploram falhas na AWS para obter vantagens sobre suas vítimas. Configurações inadequadas podem permitir o uso indevido de serviços legítimos, dificultando a detecção dos golpes de phishing. Implementar boas práticas de segurança, monitoramento contínuo e políticas restritivas de acesso são medidas fundamentais para evitar comprometimentos.

Empresas que utilizam a AWS devem estar sempre atentas às recomendações de segurança, garantindo que suas credenciais e configurações estejam protegidas. O reforço na autenticação e a vigilância constante são as melhores defesas contra essas ameaças cada vez mais sofisticadas.

Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!

Artigo anterior
85% dos projetos de IA falham – saiba por quê e como evitá-los
Próximo artigo
O Perigo Invisível dos Cabos USB: Uma Ameaça Oculta
Natália Oliveira
Natália Oliveirahttps://www.itshow.com.br
Jornalista | Analista de SEO | Criadora de Conteúdo
Postagens recomendadas
Outras postagens
Carregar mais

Itshow

O seu portal de noticias sobre ti e telecom.

Redes sociais

Transformação digital
Liderança de ti
Cloud
Infraestrutura de TI
Cibersegurança
Podcast
Quem somos
Fale conosco
Política de privacidade
Termos de uso

© Itshow

A company part of BIZ GROUP