Pesquisadores da Palo Alto Networks Unit 42 identificaram uma campanha de phishing chamada “HubPhish”, que explora ferramentas do HubSpot para roubar credenciais e comprometer a infraestrutura em nuvem Microsoft Azure de empresas europeias. O ataque atingiu cerca de 20 mil usuários, principalmente dos setores automotivo, químico e industrial, com pico em junho de 2024.

Os golpistas utilizam e-mails falsos que simulam comunicações da DocuSign, incentivando as vítimas a acessar documentos. Esses links redirecionam para páginas criadas no HubSpot Free Form Builder, levando as vítimas a um falso login do Office 365, onde as credenciais são capturadas. A campanha envolveu pelo menos 17 formulários ativos que redirecionavam para domínios controlados pelos criminosos, muitos deles hospedados no TLD “.buzz”.

Após obter acesso às contas, os invasores adicionam dispositivos controlados por eles para manter o acesso e realizam movimentos laterais dentro da infraestrutura em nuvem. Além disso, eles usam servidores Bulletproof VPS para acessar contas comprometidas no Microsoft Azure.

Ataques semelhantes têm utilizado serviços legítimos, como Google Calendar e Google Drawings, para enganar vítimas, bem como ferramentas para contornar medidas de segurança de e-mail. Entre essas estratégias estão arquivos .ICS com links que redirecionam para páginas fraudulentas ou ataques simulando provedores de segurança como Proofpoint e Mimecast. Especialistas recomendam habilitar a configuração de “remetentes conhecidos” no Google Calendar e atenção redobrada a e-mails suspeitos, mesmo quando aparentam vir de fontes confiáveis.