Cibercriminosos Usam Amazon SES para Enviar Mais de 50.000 E-mails Maliciosos Diários

BR Defense Center (By River de Morais e Silva)
phishing

Pesquisadores de cibersegurança da Wiz descobriram uma campanha de phishing sofisticada que explora o Amazon Simple Email Service (SES) para realizar ataques em larga escala. Identificada em maio de 2025, a campanha começou com chaves de acesso da AWS roubadas, um vetor de ataque comum. O que a tornou particularmente perigosa foi a capacidade do atacante de escalar suas permissões de envio de e-mails, passando do modo ‘sandbox’ restrito para acesso de produção sem limitações.

O Amazon SES, que inicialmente limita novos usuários a enviar apenas 200 e-mails por dia, foi manipulado por meio de solicitações automatizadas que convenceram o suporte da AWS a aumentar a cota para 50.000 e-mails diários. Os atacantes usaram domínios controlados e endereços de e-mail que pareciam legítimos, como admin@ e billing@, para aumentar a credibilidade das mensagens maliciosas. A campanha visava várias organizações com iscas relacionadas a impostos, redirecionando as vítimas para sites de roubo de credenciais.

Esse incidente destaca vulnerabilidades críticas nas práticas de segurança em nuvem e a necessidade de políticas rigorosas para proteger credenciais da AWS. As organizações devem implementar políticas de controle de serviço, rotacionar chaves IAM regularmente e monitorar logs do CloudTrail para atividades suspeitas.

Fonte: https://cyberpress.org/amazon-ses-phishing/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
08/09/2025 • Risco: ALTO
PHISHING

Cibercriminosos Usam Amazon SES para Enviar Mais de 50.000 E-mails Maliciosos Diários

RESUMO EXECUTIVO
A exploração do Amazon SES para enviar e-mails maliciosos representa um risco significativo para organizações que dependem de serviços em nuvem. A manipulação de credenciais da AWS e a escalabilidade dos ataques exigem atenção imediata dos líderes de segurança para evitar compromissos de dados e danos à reputação.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a interrupções e danos à reputação.
Operacional
Reputação danificada, interrupções operacionais e comprometimento de credenciais.
Setores vulneráveis
['Setores que utilizam serviços de nuvem como Amazon AWS']

📊 INDICADORES CHAVE

Mais de 50.000 e-mails maliciosos enviados diariamente. Indicador
Limite inicial de 200 e-mails por dia no modo sandbox. Contexto BR
Solicitações de PutAccountDetails realizadas em menos de 10 segundos. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs do CloudTrail para atividades suspeitas relacionadas ao SES.
2 Implementar políticas de controle de serviço para restringir o acesso ao SES.
3 Monitorar continuamente as solicitações de API e a criação de identidades de remetentes.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a exploração de serviços legítimos para realizar ataques, o que pode resultar em danos significativos à reputação e à operação das empresas.

⚖️ COMPLIANCE

Implicações legais e de conformidade com a LGPD em caso de vazamento de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).