Pesquisadores de cibersegurança revelaram uma nova campanha de phishing que tem como alvo empresas europeias com o objetivo de colher credenciais de contas e assumir o controle da infraestrutura de nuvem Microsoft Azure das vítimas.
A campanha foi nomeada HubPhish pela Unit 42 da Palo Alto Networks devido ao abuso de ferramentas do HubSpot na cadeia de ataque.
Os alvos incluem pelo menos 20.000 usuários de fabricação automotiva, química e de compostos industriais na Europa.
"As tentativas de phishing da campanha atingiram o pico em junho de 2024, com formulários falsos criados usando o serviço HubSpot Free Form Builder", disseram os pesquisadores de segurança Shachar Roitman, Ohad Benyamin Maimon e William Gamazo em um relatório compartilhado.
Os ataques envolvem o envio de e-mails de phishing com iscas temáticas do Docusign, que instam os destinatários a visualizar um documento, o qual depois redireciona os usuários para links maliciosos do HubSpot Free Form Builder, de onde são levados a uma página falsa de login do Office 365 Outlook Web App para roubar suas credenciais.
Como a Unit 42 aponta, nem o HubSpot foi comprometido durante a campanha de phishing, nem os links do Free Form Builder foram entregues aos alvos vítimas através da infraestrutura da plataforma do cliente.
A empresa disse que identificou não menos que 17 Free Forms funcionando usados para redirecionar vítimas para diferentes domínios controlados pelos atores da ameaça.
Uma parte significativa desses domínios estava hospedada no domínio de nível superior (TLD) ".buzz".
"A campanha de phishing foi hospedada em vários serviços, incluindo hospedagem VPS à prova de balas", disse a empresa.
"[O ator da ameaça] também usou essa infraestrutura para acessar locatários da Microsoft Azure comprometidos durante a operação de tomada de conta." Após obter acesso bem-sucedido a uma conta, a ameaça por trás da campanha foi encontrada adicionando um novo dispositivo sob seu controle à conta para estabelecer persistência.
"Atores da ameaça direcionaram a campanha de phishing para atacar a infraestrutura de nuvem Microsoft Azure da vítima via ataques de colheita de credenciais no computador terminal da vítima de phishing", disse a Unit 42.
Eles então seguiram essa atividade com operações de movimento lateral para a nuvem. O desenvolvimento ocorre à medida que atacantes foram flagrados se passando por SharePoint em e-mails de phishing projetados para entregar uma família de malwares ladrões de informações chamada XLoader (um sucessor do Formbook).
Ataques de phishing também estão encontrando maneiras inovadoras de contornar medidas de segurança de e-mail, entre elas o abuso de serviços legítimos como o Google Calendar e o Google Drawings, removendo protocolos de URL (HTTP/HTTPS) de links incorporados em e-mails, bem como spoofing de marcas de provedores de segurança de e-mail, tais como Proofpoint, Barracuda Networks, Mimecast e Virtru.
Aqueles que exploram a confiança associada aos serviços do Google envolvem enviar e-mails incluindo um arquivo de calendário (.ICS) com um link para o Google Forms ou Google Drawings.
Usuários que clicam no link são solicitados a clicar em outro, que geralmente é disfarçado como um botão de reCAPTCHA ou suporte.
Uma vez clicado neste link, as vítimas são encaminhadas para páginas falsas que perpetram golpes financeiros.
Para dar ainda mais um ar de autenticidade aos ataques, os atores da ameaça enviam os convites para reunião contendo o link malicioso via Calendar, contornando completamente as ferramentas de segurança de e-mail.
Aconselha-se aos usuários a habilitar a configuração de "remetentes conhecidos" no Google Calendar para se proteger contra esse tipo de ataque de phishing.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...