Pesquisadores da Wiz Research descobriram uma campanha de phishing rodando em escala industrial, com um detalhe perturbador: os hackers usaram o Amazon Simple Email Service (SES), da AWS, para disparar mais de 50 mil e-mails maliciosos por dia tudo com credenciais comprometidas de contas legítimas.
Isso mesmo: os atacantes não invadiram servidores. Eles usaram a infraestrutura da própria Amazon como trampolim para campanhas de phishing altamente eficazes, baratas e com o selo de confiabilidade de um serviço enterprise.
Como tudo começou: um par de chaves perdidas
A operação começou quando os atacantes conseguiram credenciais AWS expostas muito provavelmente por meio de repositórios públicos, endpoints mal configurados ou estações de trabalho vulneráveis.
Essas chaves, que tinham permissões relacionadas ao SES, foram exploradas com precisão cirúrgica.
Primeiro, os atacantes enviaram um comando GetCallerIdentity para entender quem exatamente tinham invadido. E logo depois, começaram a sondar os limites da conta com GetSendQuota e GetAccount.
Em segundos, eles sabiam quantos e-mails poderiam mandar, para quem e em que velocidade.
A jogada genial (e assustadora): escapando da sandbox
O SES, por padrão, roda em modo sandbox, com limite de envio de 200 e-mails por dia. Para aumentar isso, é preciso pedir à AWS a liberação para modo de produção, que eleva esse teto para até 50 mil mensagens por dia. Aí veio o golpe de mestre.
Em vez de fazer um pedido manual, como qualquer cliente legítimo, os hackers automatizaram uma avalanche de requisições “PutAccountDetails” em múltiplas regiões da AWS tudo em 10 segundos.
Esse movimento rápido, multi-regional e bem coordenado confundiu o sistema de aprovação da Amazon. E o que parecia ser um pedido legítimo com um texto genérico citando uma “construtora” qualquer passou batido.
Resultado: liberação total do serviço para enviar e-mails para qualquer pessoa no planeta.
Tentativas de escalar (e falhas reveladoras)
Animados com a liberação, os invasores ainda tentaram:
- Abrir um chamado via CreateCase API para aumentar o limite de envio (tentativa incomum e suspeita)
- Criar uma política de acesso “ses-support-policy” para tentar forçar privilégios adicionais
Ambas falharam, mas a campanha de phishing já estava pronta para decolar.
O golpe: phishing de imposto com redirecionamento profissional
Com o SES desbloqueado, os atacantes:
- Verificaram domínios próprios e outros vulneráveis (sem DMARC forte)
- Criaram identidades falsas para envio
- Dispararam e-mails com títulos como:
- “Seu formulário fiscal de 2024 está pronto”
- “Alerta: anomalias encontradas nos seus registros fiscais”
Esses e-mails levavam as vítimas a sites de roubo de credenciais, disfarçados por redirecionamentos via serviços de análise de tráfego legítimos os mesmos usados por campanhas de marketing.
É o golpe perfeito: infraestrutura legítima, entrega garantida, baixa detecção e, de quebra, ainda monitoravam as taxas de clique das vítimas.
Quem está por trás?
Nenhum grupo foi diretamente vinculado à campanha, mas a estrutura sugere um ator com foco financeiro, conhecimento técnico profundo de AWS e estratégia de automação refinada.
Pode ser desde cibercriminosos oportunistas até grupos patrocinados por Estado, testando métodos novos com alvos generalistas.
O que isso diz sobre a AWS?
Que a nuvem não é insegura mas pode ser usada contra você se você bobear. A Amazon oferece ferramentas, alertas, logs e proteções.
Mas se você deixa uma chave exposta, não é a AWS que vai se responsabilizar quando o golpe começar a sair da sua conta.
Além disso, plataformas como o Wiz Defend já estão aplicando regras para detectar esse tipo de ataque com antecedência.
