Investigadores de ciberseguridad han revelado una nueva campaña de phishing dirigida a empresas europeas con el objetivo de compilar credenciales de cuentas y tomar el control de la infraestructura de nubarrón Microsoft Azure de las víctimas.
La campaña recibió el nombre en código HubPhish de la Mecanismo 42 de Palo Parada Networks correcto al extralimitación de las herramientas de HubSpot en la condena de ataque. Los objetivos incluyen al menos 20.000 usuarios de fabricación de compuestos industriales, químicos y de automovilismo en Europa.
«Los intentos de phishing de la campaña alcanzaron su punto mayor en junio de 2024, con formularios falsos creados utilizando el servicio HubSpot Free Form Builder», dijeron los investigadores de seguridad Shachar Roitman, Ohad Benyamin Maimon y William Gamazo en un documentación compartido con The Hacker News.
Los ataques implican el emisión de correos electrónicos de phishing con señuelos con el tema de Docusign que instan a los destinatarios a ver un documento, que luego redirige a los usuarios a enlaces maliciosos de HubSpot Free Form Builder, desde donde se les dirige a una página de inicio de sesión falsa de la aplicación web Office 365 Outlook para robar. sus credenciales.
La Mecanismo 42 dijo que identificó no menos de 17 formularios libres funcionales utilizados para redirigir a las víctimas a diferentes dominios controlados por actores de amenazas. Una parte importante de esos dominios estaban alojados en el dominio de nivel superior (TLD) «.buzz».
«La campaña de phishing se realizó en varios servicios, incluido el host VPS Bulletproof», dijo la compañía. «(El actor de amenazas) incluso utilizó esta infraestructura para consentir a los inquilinos comprometidos de Microsoft Azure durante la operación de apropiación de cuentas».
Al obtener golpe exitoso a una cuenta, se descubrió que la amenaza detrás de la campaña agrega un nuevo dispositivo bajo su control a la cuenta para establecer persistencia.
«Los actores de amenazas dirigieron la campaña de phishing para apuntar a la infraestructura de nubarrón Microsoft Azure de la víctima mediante ataques de monasterio de credenciales en la computadora terminal de la víctima de phishing», dijo la Mecanismo 42. «Luego siguieron esta actividad con operaciones de movimiento anexo en torno a la nubarrón».
El progreso se produce cuando se ha detectado a atacantes haciéndose sobrevenir por SharePoint en correos electrónicos de phishing diseñados para entregar una grupo de malware timador de información llamamiento XLoader (un sucesor de Formbook).
Los ataques de phishing incluso encuentran cada vez más formas novedosas de eludir las medidas de seguridad del correo electrónico; la última de ellas es el extralimitación de servicios legítimos como Google Calendar y Google Drawings, así como la suplantación de marcas de proveedores de seguridad de correo electrónico, como Proofpoint, Barracuda Networks, Mimecast y Virtru.
Aquellos que explotan la confianza asociada a los servicios de Google implican el emisión de correos electrónicos que incluyen un archivo de calendario (.ICS) con un enlace a Google Forms o Google Drawings. A los usuarios que hacen clic en el enlace se les solicita que hagan clic en otro, que generalmente está disfrazado de reCAPTCHA o brote de soporte. Una vez que se hace clic en este enlace, las víctimas son redireccionadas a páginas falsas que perpetran estafas financieras.
Se recomienda a los usuarios que habiliten la configuración de «remitentes conocidos» en Google Calendar para acogerse contra este tipo de ataque de phishing.