Una sofisticada campaña de phishing dirigida a empresas automotrices, químicas y manufactureras en Alemania y el Reino Unido ha abusado de la plataforma HubSpot para robar credenciales de cuentas de Microsoft Azure. Según el equipo de investigación de Unit 42 de Palo Alto Networks, esta campaña comprometió aproximadamente 20,000 cuentas entre junio y septiembre de 2024.
Cómo Operaba la Campaña
Uso de HubSpot como Vector Intermedio
HubSpot, una plataforma legítima de CRM utilizada para automatización de marketing y creación de formularios web, fue empleada para redirigir a las víctimas a páginas controladas por los atacantes. Aunque HubSpot no fue comprometida directamente, los atacantes utilizaron su función Free Form Builder para crear al menos 17 formularios engañosos que solicitaban credenciales sensibles.
Tácticas de Ingeniería Social
- Correos Electrónicos Maliciosos:
Los atacantes enviaron mensajes de phishing disfrazados como notificaciones de DocuSign o portales de inicio de sesión corporativos. Estos mensajes contenían enlaces a HubSpot, ya sea en archivos PDF adjuntos o como enlaces HTML incrustados. - Elusión de Filtrados de Seguridad:
Debido a que los enlaces dirigían a un servicio legítimo como HubSpot, los correos pasaron los filtros de seguridad de correo electrónico, alcanzando con mayor frecuencia las bandejas de entrada de las víctimas.
Páginas de Phishing
Las víctimas eran redirigidas a sitios controlados por los atacantes en dominios “.buzz” que imitaban:
- Microsoft Outlook Web App.
- Portales de inicio de sesión de Azure.
- Sistemas de gestión de documentos DocuSign.
- Portales personalizados para organizaciones específicas.
Impacto del Ataque
- Volumen de Afectados:
El informe de Unit 42 estima que unas 20,000 cuentas de empresas europeas fueron comprometidas. - Métodos Post-Compromiso:
- Los atacantes utilizaron VPNs para aparentar estar ubicados en los países de las organizaciones atacadas.
- En algunos casos, los investigadores observaron una lucha activa por el control de las cuentas, con los atacantes intentando restablecer contraseñas mientras los equipos de TI intentaban recuperar el acceso.
- Evidencias Técnicas:
- Identificación de un Número de Sistema Autónomo (ASN) único.
- Uso de agentes de usuario no habituales como método de detección adicional.
Lecciones y Recomendaciones
Este ataque pone en evidencia cómo los actores maliciosos pueden aprovechar servicios legítimos para sus campañas. Para mitigar este tipo de amenazas, las empresas deben implementar las siguientes medidas:
- Mejorar la Detección de Phishing:
- Implementar herramientas de análisis de enlaces y archivos adjuntos que vayan más allá del análisis de la reputación de dominios.
- Verificar la autenticidad de los correos mediante políticas estrictas de SPF, DKIM y DMARC.
- Fortalecer las Credenciales de Acceso:
- Reforzar la autenticación mediante multi-factor authentication (MFA) con tecnologías resistentes a adversarios en el medio (AiTM).
- Monitoreo Activo de Cuentas:
- Detectar actividad sospechosa, como inicios de sesión desde ubicaciones inusuales o el uso de VPNs para disfrazar la ubicación.
- Capacitación del Personal:
- Entrenar a los empleados para identificar correos maliciosos, incluso si parecen provenir de servicios legítimos como HubSpot o DocuSign.
Conclusión
Este ataque subraya cómo los ciberdelincuentes continúan explotando plataformas legítimas para engañar a los usuarios y eludir los sistemas de seguridad. Las organizaciones deben adoptar un enfoque proactivo para mejorar su postura de seguridad y protegerse contra tácticas cada vez más avanzadas.