- La Unidad 42 dice que la campaña de phishing se dirigió a las industrias automotriz, química y de fabricación de vehículos industriales.
- Más de 20.000 víctimas fueron atacadas con éxito
- La campaña ha fallado, pero los usuarios deben estar preparados.
Los expertos han advertido que piratas informáticos de posible origen ruso o ucraniano están apuntando a organizaciones del Reino Unido y la UE en las industrias automotriz, química y de fabricación de vehículos industriales con amenazas avanzadas de phishing.
Informe de la Unidad 42, Ciberseguridad de Palo Alto Networks brazoafirma haber observado una campaña que comenzó en junio de 2024 y que todavía estaba activa en septiembre. El objetivo de la campaña era capturar personas. microsoft cuentas de nube de Azure y robar cualquier información confidencial que se encuentre allí.
Los estafadores enviarán un archivo PDF con Docusign o un enlace HTML incrustado, que redirigirá a las víctimas al enlace de HubSpot Free Form Builder. Este enlace normalmente invita al lector a “Ver documento en Microsoft Secured Cloud”, donde se pedirá a las víctimas que proporcionen sus credenciales de inicio de sesión de Microsoft Azure.
Alojamiento a prueba de balas
La mayoría de las víctimas se producen en Europa (principalmente Alemania) y el Reino Unido. Casi 20.000 usuarios fueron “atacados con éxito”, dijeron los investigadores, y agregaron que al menos en algunos casos, las víctimas proporcionaron a los atacantes credenciales de inicio de sesión: “Verificamos que la campaña de phishing hizo múltiples intentos de conectarse al software Microsoft Azure de las víctimas. ” infraestructura de nube”, dijeron los investigadores en su escrito.
Además de utilizar señuelos de phishing personalizados, utilizando los formatos de correo electrónico y la marca de una organización, los estafadores también han recurrido a redireccionamientos dirigidos utilizando URL diseñadas para parecerse al dominio de la organización víctima. Además, los malhechores utilizaron balas. servidores VPSy reutilizó su infraestructura de phishing para múltiples operaciones. La mayoría de las páginas de phishing están alojadas en dominios .buzz.
Al momento de esta publicación, la mayor parte de la infraestructura de ataque se había desconectado: la Unidad 42 dijo que trabajó con HubSpot para abordar el abuso de la plataforma y se comprometió con las organizaciones comprometidas para proporcionar recursos de recuperación. Dado que la mayoría de los servidores de phishing ahora están fuera de línea, los investigadores dijeron que los esfuerzos de interrupción han sido efectivos.
a través de Registro