Pesquisadores da Proofpoint, Inc. identificaram uma campanha exclusiva em andamento de account takeover (ATO) – ataque que utiliza bots automatizados e outros métodos para roubar credenciais de acesso e controlar contas de usuários para ganhar dinheiro ou cometer fraudes – na nuvem, direcionada a organizações e instituições sediadas no Brasil, em diversos setores como moda, energia e educação.
Foram observados agentes de ameaças usando, desde junho, a criação de regras de caixa de e-mail pós-acesso para facilitar fraudes financeiras e extrair informações de contas comprometidas com base em palavras-chave específicas.
O ataque está relacionado a um pequeno conjunto limitado de endereços IP brasileiros como infraestrutura operacional aproveitado pelos atores da ameaça como infraestrutura operacional.
De acordo com a telemetria da Proofpoint, a criação de regras de caixas de e-mail maliciosas é uma tendência contínua no cenário de ameaças. Essa ação permite que os invasores permaneçam fora do radar enquanto executam fraudes, roubam informações confidenciais ou se movem em ambientes de nuvem afetados. Até o momento, a ameaça impactou diversas contas de e-mail, resultando em tentativas de fraude financeira.
A empresa continua monitorando o impacto da campanha e aconselha organizações locais e globais com atividades comerciais no Brasil a aumentarem sua conscientização, empregarem soluções de detecção de ATO e remediarem prontamente incidentes desse tipo para evitar danos potenciais.
Indicadores de comprometimento (IOCs)
Foram observados o nome da regra da caixa de correio, ‘dk01’, e os seguintes endereços IP: 2804:214:8616:54b6:10b6:1330:59fd:676b; 2804:214:8652:516c:59ee:1c9c:6e53:2d5a; 2804:214:8653:974e:e83c:eb00:c7a8:5057; 2804:214:8657:5c4f:340e:2ef0:b47d:b457. Também foi identificado o agente de usuário: ‘Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/126.0.0.0 Safari/537.36’
