Actualitat

Pàgines falses de l’AWS permeten que els ciberdelinqüents robin credencials i se saltin l’autenticació multifactor

NOTÍCIES

09/07/2026

L’atac combina enginyeria social i tècniques ‘Adversary-in-the-Middle’ per interceptar codis de verificació abans de la seva expiració.

Una campanya de pesca de credencials altament dirigida ha posat al punt de mira usuaris d’Amazon Web Services (AWS) mitjançant l’ús de pàgines d’inici de sessió clonades, capaces de capturar credencials i codis d’autenticació multifactor (MFA) en temps real.

Segons han advertit investigadors de seguretat, els atacs estan dissenyats per robar sessions completes en lloc de limitar-se a l’extracció de contrasenyes. 

L’operació s’ha caracteritzat pel seu alt nivell de selectivitat, amb prop de mig centenar d’objectius identificats, principalment enginyers de programari als Estats Units.

La investigació apunta que la infraestructura de pesca ha estat activa des d’almenys mitjans del 2025 i que tècniques similars ja s’havien utilitzat en campanyes anteriors contra moneders de criptomonedes i credencials de Salesforce.

Mode de funcionament

Els atacants han fet servir correus de pesca (phishing) que simulen comunicacions del suport tècnic d’AWS. S’hi alerta les víctimes de suposats problemes urgents, com ara limitacions d’amplada de banda o incidències en tiquets de suport, cosa que empeny l’usuari a fer clic en un enllaç maliciós.

Aquest enllaç adreça a una pàgina que reprodueix amb gran precisió la consola d’inici de sessió d’AWS. L’objectiu és que la víctima introdueixi les credencials sense sospitar que es tracta d’un entorn fraudulent.

Quan introdueix l’usuari i la clau, aquestes són enviades al servei legítim en segon pla. En aquest moment, la plataforma demana el segon factor d’autenticació, com ara un codi SMS, un correu electrònic o un token d’aplicació.

I aquí és quan els ciberdelinqüents actuen. El sistema de pesca reprodueix el flux esmentat en temps real. Així, quan la víctima introdueix el codi MFA, els delinqüents l’intercepten i el reenvien a AWS abans que expiri, cosa que els facilita segrestar la sessió activa.

Per fer servir l’argot tècnic, aquesta mena d’atacs són coneguts com a ‘Adversary-in-the-Middle” (AiTM)’, i l’atacant actua com a intermediari entre l’usuari i el servei legítim sense trencar directament els mecanismes d’autenticació.

Molts petits trucs

Per distribuir els correus, els actors d’amenaces han recorregut a serveis legítims per a l’enviament de correus electrònics com SendGrid i Nimbu, cosa que els ha permès eludir filtres anti-spam tradicionals. 

A més, la infraestructura s’ha recolzat en serveis vinculats a Cloudflare, cosa que n’ha dificultat el rastreig i el bloqueig.

Per a més inri, la pàgina de pesca no roman estàtica, sinó que funciona com un sistema dinàmic dissenyat per filtrar víctimes. Quan l’usuari accedeix a l’enllaç maliciós, el servidor comprova un paràmetre ocult a l’URL (input_24) que conté el correu electrònic xifrat de la víctima. 

Si la dada coincideix amb la llista d’objectius, es mostra la pàgina falsa d’inici de sessió; si no, el sistema torna una pantalla en blanc per evitar les anàlisis de seguretat. Això evidencia que parlem d’una campanya altament dirigida, no pas d’una ‘a l’atzar’. 

Igualment, els investigadors també han identificat diversos dominis utilitzats a la campanya que imiten serveis oficials d’AWS, com aws-us-west-login[.]com o aws-us-east-prod[.]com, entre d’altres. Tots ells han estat catalogats com a indicadors de compromís.

Llegiu la notícia original al seu lloc web oficial fent clic en aquest mateix enllaç