Μια ενεργή καμπάνια phishing στοχεύει αυτήν τη στιγμή χρήστες HubSpot μέσω ενός εξελιγμένου συνδυασμού κοινωνικής μηχανικής και συμβιβασμού υποδομών.
Η επίθεση αξιοποιεί τακτικές συμβιβασμού των email επιχειρήσεων, σε συνδυασμό με την αεροπειρατεία ιστότοπων, για να παραδώσει κακόβουλο λογισμικό κλοπής διαπιστευτηρίων σε ανυποψίαστους επαγγελματίες μάρκετινγκ και επιχειρηματικές ομάδες που βασίζονται στην πλατφόρμα.
Η καμπάνια ξεκινά με προσεκτικά δημιουργημένα μηνύματα ηλεκτρονικού ψαρέματος που φαίνεται να προέρχονται από νόμιμους επιχειρηματικούς λογαριασμούς.
Αυτά τα μηνύματα προτρέπουν τους παραλήπτες να συνδεθούν στους λογαριασμούς τους στο HubSpot για να ελέγξουν τις καμπάνιες μάρκετινγκ, αναφέροντας μια ασυνήθιστη αύξηση των διαγραφών ως αιτία για άμεση δράση.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου χρησιμοποιούν το MailChimp, μια αξιόπιστη πλατφόρμα μάρκετινγκ ηλεκτρονικού ταχυδρομείου, για τη διανομή της επίθεσης σε κλίμακα, διασφαλίζοντας ότι τα μηνύματα περνούν από ασφαλείς πύλες ηλεκτρονικού ταχυδρομείου λόγω της φήμης της πλατφόρμας.
Εβαλιανοί ερευνητές διάσημος ότι τα μηνύματα ηλεκτρονικού ψαρέματος χρησιμοποιούν μια παραπλανητική τεχνική: την ενσωμάτωση κακόβουλων διευθύνσεων URL στο εμφανιζόμενο όνομα του αποστολέα και όχι στο σώμα του ηλεκτρονικού ταχυδρομείου.
Αυτή η προσέγγιση παρακάμπτει με επιτυχία πολλούς ελέγχους ασφαλείας email, οι οποίοι συνήθως σαρώνουν το περιεχόμενο του μηνύματος αλλά παραβλέπουν το πεδίο αποστολέα.
.webp.png "Χάκερ που στοχεύουν χρήστες HubSpot σε στοχευμένη επίθεση phishing")
Σε συνδυασμό με τον παραβιασμένο νόμιμο επιχειρηματικό τομέα, τα μηνύματα ηλεκτρονικού ταχυδρομείου εμφανίζονται αυθεντικά τόσο στα αυτοματοποιημένα συστήματα όσο και στους ανθρώπινους αναγνώστες.
Μόλις τα θύματα κάνουν κλικ στην ενσωματωμένη διεύθυνση URL, ανακατευθύνονται από έναν παραβιασμένο ιστότοπο σε μια πειστική ψεύτικη πύλη σύνδεσης HubSpot που φιλοξενείται στην υποδομή Proton66 OOO, έναν ρωσικό αλεξίσφαιρο πάροχο φιλοξενίας που συνδέεται με το ASN AS 198953.
Όταν οι χρήστες εισάγουν τα διαπιστευτήριά τους, οι πληροφορίες σύνδεσης μεταδίδονται σε ένα αρχείο login.php και καταγράφονται από τους εισβολείς.
.webp.jpeg "Χάκερ που στοχεύουν χρήστες HubSpot σε στοχευμένη επίθεση phishing")
Η δομή ηλεκτρονικού “ψαρέματος” και η σελίδα σύνδεσης με αντίγραφο έχουν σχεδιαστεί για να αντικατοπτρίζουν τη νόμιμη διεπαφή του HubSpot.
Υποδομή φιλοξενίας
Ο μηχανισμός μόλυνσης βασίζεται στη συλλογή έγκυρων διαπιστευτηρίων χρήστη αντί στην παράδοση παραδοσιακού κακόβουλου λογισμικού.
Οι αναλυτές της Evalian εντόπισαν ότι η υποδομή φιλοξενίας χρησιμοποιεί έναν εικονικό ιδιωτικό διακομιστή που διαχειρίζεται η Plesk με εκτεθειμένες υπηρεσίες αλληλογραφίας, συμπεριλαμβανομένων των Postfix και Dovecot.
Η διεύθυνση IP 193.143.1.220 αποκαλύπτει ένα ασυνήθιστα ευρύ φάσμα ανοιχτών θυρών, συμπεριλαμβανομένων των υπηρεσιών SMTP στις θύρες 25 και 465, IMAP στις θύρες 143 και 993 και πολλαπλών διαχειριστικών διεπαφών Plesk.
Αυτή η διαμόρφωση είναι τυπική υποδομής που έχει σχεδιαστεί για γρήγορη ανάπτυξη και εναλλαγή καμπανιών phishing.
Η ανάλυση υποδομής επιβεβαίωσε ότι η IP σχετίζεται με πολλές άλλες προσπάθειες phishing, υποδεικνύοντας ένα μοτίβο οργανωμένης δραστηριότητας επίθεσης.
Οι εκτεθειμένοι πίνακες ελέγχου Plesk επιτρέπουν στους εισβολείς να αναπτύσσουν γρήγορα νέες σελίδες phishing, να διαχειρίζονται παραβιασμένους λογαριασμούς email και να περιστρέφουν την υποδομή για να αποφύγουν τον εντοπισμό.
Οι οργανισμοί πρέπει να εφαρμόζουν πολυεπίπεδα μέτρα ασφαλείας που εκτείνονται πέρα από τα τυπικά πρωτόκολλα ελέγχου ταυτότητας email για προστασία από εξελισσόμενες απειλές.
Related Posts
Το νέο GhostFrame Super Stealthy Kit επιτίθεται σε εκατομμύρια χρήστες παγκοσμίως
Τεράστια επίθεση ηλεκτρονικού ψαρέματος Μίμηση ως ταξιδιωτικές επωνυμίες που επιτίθενται σε χρήστες με 4.300 κακόβουλους τομείς
Προσοχή στα μηνύματα ηλεκτρονικού ψαρέματος, καθώς οι ειδοποιήσεις φίλτρου ανεπιθύμητης αλληλογραφίας κλέβουν τις συνδέσεις ηλεκτρονικού ταχυδρομείου σας σε μια αναλαμπή
