Pesquisadores de segurança cibernética revelaram recentemente uma sofisticada campanha de phishing chamada HubPhish, que teve como alvo empresas em diversos setores na Europa. A principal finalidade dessa campanha era roubar credenciais de contas de e-mail e comprometendo as infraestruturas de nuvem, como o Microsoft Azure, com o intuito de realizar movimentações e obter controle sobre sistemas corporativos. A campanha foi descoberta pela Palo Alto Networks Unit 42 e ganhou notoriedade por abusar de ferramentas legítimas da HubSpot, o que dificultou sua detecção inicial.
Uso das ferramentas HubSpot na cadeia de ataque
O ataque ficou conhecido pelo uso do HubSpot Free Form Builder, uma ferramenta legítima que permite criar formulários personalizados. Os criminosos utilizaram esses formulários para redirecionar as vítimas a páginas de login falsas do Office 365 e outras plataformas, como o Outlook Web App, onde as credenciais eram roubadas. Este tipo de phishing foi projetado para parecer autêntico, o que contribuiu para seu sucesso, afetando pelo menos 20.000 usuários em setores como a fabricação de compostos automotivos, produtos químicos e industriais. As vítimas eram inicialmente enganadas por e-mails de phishing disfarçados como mensagens de documentos do Docusign, que incitavam os destinatários a acessar links maliciosos.
O uso de formulários do HubSpot foi crucial para a execução bem-sucedida do ataque. A Unit 42 identificou ao menos 17 formulários ativos utilizados pelos atacantes, que estavam hospedados em domínios maliciosos controlados pelos criminosos. Muitos desses domínios estavam no TLD (domínio de nível superior) “.buzz”, um indicador de que os cibercriminosos estavam utilizando infraestrutura de difícil rastreamento, como o Bulletproof VPS hosting, para dar suporte a seus ataques.
Impacto na infraestrutura de nuvem Microsoft Azure
Após a coleta das credenciais, os atacantes acessavam as contas comprometidas e executavam operações de movimentação lateral na infraestrutura da Microsoft Azure das vítimas. Isso significava que, além de roubar as credenciais de acesso ao e-mail, os invasores conseguiam invadir sistemas mais complexos, ganhando acesso a informações sensíveis, como dados corporativos e informações confidenciais armazenadas na nuvem. Uma vez com acesso à conta, o grupo de atacantes instalava dispositivos adicionais para garantir persistência, aumentando ainda mais o impacto dos ataques.
Esses ataques são particularmente perigosos porque aproveitam a infraestrutura legítima da Microsoft, tornando difícil para as vítimas detectarem atividades suspeitas. Esse tipo de movimentação lateral é uma técnica frequentemente utilizada por atacantes para escalar seus privilégios e comprometer outras áreas dentro da rede corporativa, sem levantar alarmes imediatos.
O aumento de ataques de phishing e novas técnicas de engano
A campanha HubPhish é apenas um exemplo do crescente número de ataques de phishing direcionados a empresas e usuários individuais. Nos últimos meses, ataques semelhantes têm se intensificado, especialmente aqueles que usam serviços legítimos, como o Google Agenda e Google Drawings, para se disfarçar como fontes confiáveis. Esses ataques enganam os usuários ao enviar arquivos de calendário (.ICS) que contêm links para páginas de phishing, que podem ser disfarçadas como reCAPTCHAs ou botões de suporte técnico.
Esses métodos de phishing estão se tornando cada vez mais sofisticados, tornando essencial para as organizações e usuários individuais tomarem medidas proativas para proteger seus dados. Especialistas em segurança recomendam o uso de ferramentas de verificação e a habilitação de recursos de segurança adicionais, como a configuração de “remetentes conhecidos” no Google Agenda, para reduzir a probabilidade de serem vítimas de tais ataques.
Conclusão: Como se proteger contra ataques HubPhish
Dado o impacto potencial de ataques como o HubPhish, é fundamental que empresas e indivíduos adotem práticas de segurança cibernética mais rigorosas. Isso inclui a implementação de autenticação multifator (MFA), a verificação constante de fontes de e-mails e links recebidos, além de educar os funcionários sobre as táticas de phishing. Além disso, é importante manter as plataformas de nuvem, como o Microsoft Azure, constantemente atualizadas e configuradas corretamente para prevenir o movimento lateral por parte de invasores.