Campaña de Phishing Abusa de HubSpot para Robar Credenciales de Microsoft Azure

Una sofisticada campaña de phishing dirigida a empresas automotrices, químicas y manufactureras en Alemania y el Reino Unido ha abusado de la plataforma HubSpot para robar credenciales de cuentas de Microsoft Azure. Según el equipo de investigación de Unit 42 de Palo Alto Networks, esta campaña comprometió aproximadamente 20,000 cuentas entre junio y septiembre de 2024.

Cómo Operaba la Campaña

Uso de HubSpot como Vector Intermedio

HubSpot, una plataforma legítima de CRM utilizada para automatización de marketing y creación de formularios web, fue empleada para redirigir a las víctimas a páginas controladas por los atacantes. Aunque HubSpot no fue comprometida directamente, los atacantes utilizaron su función Free Form Builder para crear al menos 17 formularios engañosos que solicitaban credenciales sensibles.

Tácticas de Ingeniería Social

  • Correos Electrónicos Maliciosos:
    Los atacantes enviaron mensajes de phishing disfrazados como notificaciones de DocuSign o portales de inicio de sesión corporativos. Estos mensajes contenían enlaces a HubSpot, ya sea en archivos PDF adjuntos o como enlaces HTML incrustados.
  • Elusión de Filtrados de Seguridad:
    Debido a que los enlaces dirigían a un servicio legítimo como HubSpot, los correos pasaron los filtros de seguridad de correo electrónico, alcanzando con mayor frecuencia las bandejas de entrada de las víctimas.

Páginas de Phishing

Las víctimas eran redirigidas a sitios controlados por los atacantes en dominios “.buzz” que imitaban:

  1. Microsoft Outlook Web App.
  2. Portales de inicio de sesión de Azure.
  3. Sistemas de gestión de documentos DocuSign.
  4. Portales personalizados para organizaciones específicas.
Impacto del Ataque
  • Volumen de Afectados:
    El informe de Unit 42 estima que unas 20,000 cuentas de empresas europeas fueron comprometidas.
  • Métodos Post-Compromiso:
    • Los atacantes utilizaron VPNs para aparentar estar ubicados en los países de las organizaciones atacadas.
    • En algunos casos, los investigadores observaron una lucha activa por el control de las cuentas, con los atacantes intentando restablecer contraseñas mientras los equipos de TI intentaban recuperar el acceso.
  • Evidencias Técnicas:
    • Identificación de un Número de Sistema Autónomo (ASN) único.
    • Uso de agentes de usuario no habituales como método de detección adicional.

Lecciones y Recomendaciones

Este ataque pone en evidencia cómo los actores maliciosos pueden aprovechar servicios legítimos para sus campañas. Para mitigar este tipo de amenazas, las empresas deben implementar las siguientes medidas:

  1. Mejorar la Detección de Phishing:
    • Implementar herramientas de análisis de enlaces y archivos adjuntos que vayan más allá del análisis de la reputación de dominios.
    • Verificar la autenticidad de los correos mediante políticas estrictas de SPF, DKIM y DMARC.
  2. Fortalecer las Credenciales de Acceso:
    • Reforzar la autenticación mediante multi-factor authentication (MFA) con tecnologías resistentes a adversarios en el medio (AiTM).
  3. Monitoreo Activo de Cuentas:
    • Detectar actividad sospechosa, como inicios de sesión desde ubicaciones inusuales o el uso de VPNs para disfrazar la ubicación.
  4. Capacitación del Personal:
    • Entrenar a los empleados para identificar correos maliciosos, incluso si parecen provenir de servicios legítimos como HubSpot o DocuSign.
Conclusión

Este ataque subraya cómo los ciberdelincuentes continúan explotando plataformas legítimas para engañar a los usuarios y eludir los sistemas de seguridad. Las organizaciones deben adoptar un enfoque proactivo para mejorar su postura de seguridad y protegerse contra tácticas cada vez más avanzadas.

Related Posts
Clear Filters

Más de 4,000 Backdoors web abandonados pero activos fueron secuestrados, y su infraestructura de comunicación fue hundida digitalmente después de…

La empresa multinacional de telecomunicaciones Telefónica ha confirmado que su sistema interno de gestión de tickets fue vulnerado, lo que…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.