🔍 Contexte

Article publié le 4 mai 2026 par Roman Dedenok sur Securelist (Kaspersky). Il documente une tendance croissante d’abus du service légitime Amazon Simple Email Service (Amazon SES) à des fins de phishing et d’attaques BEC (Business Email Compromise).

⚙️ Mécanisme d’attaque

Les attaquants obtiennent un accès à Amazon SES principalement via des clés IAM AWS compromises ou exposées, trouvées dans :

  • Dépôts GitHub publics
  • Fichiers ENV
  • Images Docker
  • Sauvegardes de configuration
  • Buckets S3 accessibles publiquement

Pour automatiser la recherche de ces clés, les attaquants utilisent des outils comme TruffleHog, un utilitaire open-source de détection de secrets exposés.

📧 Pourquoi Amazon SES est efficace pour le phishing

  • Les emails passent les contrôles SPF, DKIM et DMARC
  • Les en-têtes Message-ID contiennent .amazonses.com, renforçant la légitimité apparente
  • Les URLs de redirection affichent amazonaws.com, trompant les victimes
  • Les IP d’envoi ne figurent pas sur les listes de blocage par réputation
  • Les templates HTML personnalisés permettent des emails très convaincants

🎣 Exemples observés début 2026

Phishing : Fausses notifications de services de signature électronique (imitation de Docusign). La victime est redirigée vers un formulaire de connexion frauduleux hébergé sur amazonaws.com.

BEC : Email frauduleux imitant un échange entre un employé et un fournisseur à propos d’une facture impayée, envoyé au département financier pour déclencher un virement. Les pièces jointes PDF contiennent uniquement des coordonnées bancaires et des documents falsifiés, sans URL ni QR code malveillant.

📌 Type d’article

Analyse de menace publiée par Kaspersky, visant à documenter une tendance émergente d’abus d’infrastructure légitime cloud pour contourner les défenses email traditionnelles.

🧠 TTPs et IOCs détectés

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1586.002 — Compromise Accounts: Email Accounts (Resource Development)
  • T1598 — Phishing for Information (Reconnaissance)
  • T1534 — Internal Spearphishing (Lateral Movement)
  • T1036 — Masquerading (Defense Evasion)
  • T1608.005 — Stage Capabilities: Link Target (Resource Development)

Malware / Outils

  • TruffleHog (tool)

🟡 Indice de vérification factuelle : 60/100 (moyenne)

  • ✅ securelist.com — source reconnue (liste interne) (20pts)
  • ✅ 10200 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 9 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://securelist.com/amazon-ses-phishing-and-bec-attacks/119623/