Detectada una oleada de ciberataques de phishing lanzados desde cuentas comprometidas de Amazon SES
- Seguridad
Los atacantes utilizan credenciales robadas de AWS para enviar correos maliciosos desde infraestructura legítima, imitando servicios como DocuSign y fabricando hilos completos de correo empresarial. Kaspersky también ha identificado casos de ataques BEC ejecutados a través de Amazon SES.
Kaspersky ha detectado una nueva oleada de ciberataques de phishing y de compromiso de correo electrónico empresarial (BEC) que aprovechan Amazon Simple Email Service (SES), la plataforma de correo transaccional de Amazon Web Services. El uso de esta infraestructura legítima permite a los ciberdelincuentes enviar mensajes prácticamente indistinguibles de los correos corporativos reales, ya que proceden de direcciones IP reputadas e incluyen identificadores auténticos del dominio “amazonses.com”.
Según la compañía, estos ataques se originan tras el robo y exposición de credenciales de AWS, a menudo filtradas en repositorios públicos, almacenamiento mal configurado o archivos de configuración expuestos. Con herramientas automatizadas, los atacantes identifican claves válidas y las utilizan para enviar grandes volúmenes de correos maliciosos desde la propia infraestructura de Amazon, lo que dificulta enormemente su detección.
Phishing indetectable y ataques BEC avanzados
Los ciberdelincuentes están ocultando enlaces maliciosos detrás de dominios confiables como amazonaws.com, empleando redirecciones y plantillas HTML que replican con precisión servicios populares. En uno de los ataques observados por Kaspersky, los correos imitaban notificaciones de DocuSign, incitando a las víctimas a revisar y firmar documentos. Al hacerlo, eran redirigidas a páginas fraudulentas alojadas en infraestructura de AWS diseñada para capturar credenciales.
Este tipo de ataques aprovecha la confianza del usuario en servicios ampliamente utilizados y la dificultad técnica para distinguir un correo legítimo de uno malicioso cuando ambos se envían desde la misma infraestructura.
Además del phishing tradicional, Kaspersky ha identificado casos de compromiso de ataques BEC ejecutados a través de Amazon SES. En estos ataques, los ciberdelincuentes se hacen pasar por empleados y fabrican hilos completos de conversación con proveedores o departamentos internos.
Los mensajes suelen dirigirse a áreas financieras y solicitan pagos urgentes, adjuntando archivos PDF que contienen únicamente datos bancarios, sin enlaces maliciosos. Esta ausencia de indicadores clásicos de phishing dificulta aún más la detección por parte de filtros automáticos y equipos de seguridad.
Roman Dedenok, experto en Anti-Spam de Kaspersky, advierte de que este tipo de ataques supone un salto cualitativo respecto a incidentes anteriores. “Hemos visto abusos de plataformas de confianza como Google Tasks o Google Forms, donde los estafadores utilizan notificaciones legítimas para entregar enlaces de phishing. Pero el abuso de Amazon SES representa una etapa más avanzada: los ciberdelincuentes comprometen credenciales de la nube y obtienen control directo sobre una infraestructura de envío de correos de confianza”, señala Dedenok, que apunta que este control permite escalar ataques, personalizar mensajes y enviar correos prácticamente indistinguibles de comunicaciones comerciales reales.
