Xeon Sender: una nueva arma de los piratas informáticos para poderosos bombardeos de SMS

En los últimos meses, los expertos en ciberseguridad han detectado un uso activo de una nueva herramienta de ataque en servicios en la nube llamada Xeon Sender. Esta herramienta es utilizada por los delincuentes para llevar a cabo campañas de phishing y spam a través de SMS, explotando servicios legítimos.

Según el investigador de SentinelOne, Alex Delamotte, Xeon Sender permite enviar mensajes a través de varios servicios que funcionan bajo el modelo de «software como servicio» (SaaS), utilizando credenciales válidas. Entre estos servicios se encuentran Amazon, SNS, Nexmo, Plivo, Twilio y otros.

Un aspecto importante es que Xeon Sender no explota vulnerabilidades de los propios proveedores. En su lugar, los delincuentes utilizan API legales para enviar mensajes de spam masivamente. Este tipo de herramientas se han vuelto cada vez más populares entre los ciberdelincuentes para difundir mensajes de phishing con el objetivo de robar información confidencial.

Xeon Sender se distribuye a través de Telegram y varios foros dedicados al cracking de software. La última versión de la herramienta, disponible para descarga en un archivo ZIP, hace referencia al canal de Telegram «Orion Toolxhub», creado en febrero de 2023. Este canal también distribuye activamente otros programas maliciosos, como herramientas para ataques de fuerza bruta y escaneo de sitios web.

Xeon Sender, también conocido como XeonV5 y SVG Sender, se detectó por primera vez en 2022. Desde entonces, su funcionalidad se ha ampliado constantemente y ha sido utilizada por diversos grupos de delincuentes. Curiosamente, una de las versiones de esta herramienta se aloja en un servidor web con una interfaz gráfica, lo que la hace accesible incluso para usuarios con habilidades técnicas mínimas.

La herramienta proporciona una interfaz de línea de comandos para interactuar con las API de los servicios seleccionados, lo que permite organizar ataques masivos de SMS. Esto implica que los delincuentes ya cuentan con las claves de API necesarias para acceder a los servicios. Las solicitudes incluyen el identificador del remitente, el contenido del mensaje y los números de teléfono tomados de una lista previamente preparada.

Además, Xeon Sender incluye funciones para verificar las credenciales de los servicios Nexmo y Twilio, generar números de teléfono según los códigos de país y región, y comprobar la validez de los números especificados. A pesar de que el código del programa contiene muchas variables ambiguas que dificultan la depuración, los investigadores señalan que el uso de bibliotecas específicas para crear solicitudes crea dificultades adicionales para su detección.

Para protegerse contra este tipo de amenazas, los expertos recomiendan que las organizaciones supervisen la actividad relacionada con cambios en la configuración del envío de SMS y cambios anómalos en las listas de destinatarios, como la carga masiva de nuevos números.