Recibir un mensaje de texto sospechoso ya no es algo raro para muchos de nosotros. A menudo, se trata de intentos de phishing o spam diseñados para engañarnos y robar nuestra información personal. Lo que quizá no sepas es que detrás de muchos de estos mensajes se encuentra una herramienta llamada Xeon Sender, que facilita a los atacantes lanzar campañas masivas de fraude.
Aprovechando servicios legítimos en la nube, estos atacantes logran enviar grandes cantidades de mensajes no deseados, burlando las medidas de seguridad tradicionales. Comprender cómo estos delincuentes utilizan Xeon Sender para llegar a nuestras bandejas de entrada es clave para protegernos y mantenernos un paso adelante.
Xeon Sender permite a los atacantes enviar mensajes SMS masivos utilizando múltiples proveedores de software como servicio (SaaS) a través del uso de credenciales válidas. Esta herramienta permite a los cibercriminales explotar las API de servicios como Amazon Simple Notification Service (SNS), Nexmo, Plivo, Proovl, Send99, Telesign, Telnyx, TextBelt y Twilio para distribuir grandes volúmenes de mensajes de spam.
Es crucial señalar que estas actividades no dependen de vulnerabilidades en los propios proveedores de servicios. Xeon Sender emplea API legítimas para llevar a cabo ataques masivos de spam por SMS, lo que lo convierte en una herramienta poderosa en el arsenal de los cibercriminales. La herramienta comparte similitudes con SNS Sender, que se utiliza comúnmente para distribuir mensajes de smishing diseñados para robar información confidencial de víctimas desprevenidas.
Te podrá interesar leer: SMS Bomber: Amenaza Silente en el Mundo de los Mensajes de Texto
Xeon Sender se ha difundido ampliamente a través de canales de Telegram y foros de hackers, a menudo acompañado de otras herramientas maliciosas. En una de sus versiones anteriores, incluso se atribuía el mérito a un canal de Telegram enfocado en promocionar herramientas de hacking pirateadas. La última versión de Xeon Sender, se vincula a un canal de Telegram llamado Orion Toolxhub, creado el 1 de febrero de 2023, que cuenta con alrededor de 200 miembros.
Orion Toolxhub ofrece una amplia gama de software malicioso, incluidas herramientas para ataques de fuerza bruta, búsquedas inversas de direcciones IP, escáneres de sitios de WordPress, shells web PHP, clippers de Bitcoin y YonixSMS, un programa que promete capacidades ilimitadas de envío de SMS.
Xeon Sender, también conocido como XeonV5 y SVG Sender, ha estado en circulación desde 2022. Inicialmente desarrollado como un programa basado en Python, ha sido reutilizado por varios actores maliciosos para distintos fines. A lo largo del tiempo, la herramienta ha evolucionado para adaptarse a las necesidades de diferentes cibercriminales, incluyendo una versión alojada en un servidor web con una interfaz gráfica de usuario (GUI) que facilita su uso para actores con menos conocimientos técnicos.
Conoce más sobre: 8 Indicios de Correos Electrónicos Falsos: ¿Cómo Identificarlos?
Xeon Sender proporciona a los usuarios una interfaz de línea de comandos (CLI) que les permite interactuar con las API de backend de proveedores de servicios seleccionados, facilitando la organización de ataques masivos de spam SMS. Para utilizar esta herramienta, los atacantes deben contar con las claves API necesarias para acceder a los endpoints de los servicios. Las solicitudes API que Xeon Sender envía suelen incluir el ID del remitente, el contenido del mensaje y los números de teléfono, los cuales suelen obtenerse de listas predefinidas almacenadas en archivos de texto.
Además de sus capacidades para enviar SMS, Xeon Sender incluye funciones para validar credenciales de cuenta de servicios como Nexmo y Twilio, generar números de teléfono basados en códigos de área y país específicos, y verificar la validez de los números de teléfono proporcionados.
A pesar de su diseño relativamente simple, Xeon Sender presenta desafíos significativos para la detección. Su código fuente está intencionalmente ofuscado con variables ambiguas, lo que dificulta la depuración. La herramienta emplea principalmente bibliotecas Python específicas de cada proveedor para crear solicitudes de API, lo que complica aún más la identificación de abusos por parte de los equipos de ciberseguridad.
Debido a que los registros de cada biblioteca y proveedor son únicos, detectar el uso indebido de estos servicios es un reto, complicando los esfuerzos para mitigar ataques masivos de spam SMS.
Para defenderse de amenazas como Xeon Sender, es crucial que las organizaciones monitoreen la actividad relacionada con la evaluación o modificación de permisos de envío de SMS, así como cambios anómalos en las listas de distribución, como una gran carga de nuevos números de teléfono de destinatarios.