Pesquisadores identificam ataque de controle de contas direcionado a organizações brasileiras

Os especialistas da Proofpoint indicaram que o agente hostil usa, desde junho, a criação de regras de caixa de e-mail pós-acesso para facilitar fraudes financeiras e extrair informações de contas comprometidas com base em palavras-chave específicas.

Compartilhar:

Pesquisadores da Proofpoint, Inc. identificaram uma campanha exclusiva em andamento de account takeover (ATO) – ataque que utiliza bots automatizados e outros métodos para roubar credenciais de acesso e controlar contas de usuários para ganhar dinheiro ou cometer fraudes – na nuvem, direcionada a organizações e instituições sediadas no Brasil, em diversos setores como moda, energia e educação.

 

Foram observados agentes de ameaças usando, desde junho, a criação de regras de caixa de e-mail pós-acesso para facilitar fraudes financeiras e extrair informações de contas comprometidas com base em palavras-chave específicas.

 

O ataque está relacionado a um pequeno conjunto limitado de endereços IP brasileiros como infraestrutura operacional aproveitado pelos atores da ameaça como infraestrutura operacional.

 

De acordo com a telemetria da Proofpoint, a criação de regras de caixas de e-mail maliciosas é uma tendência contínua no cenário de ameaças. Essa ação permite que os invasores permaneçam fora do radar enquanto executam fraudes, roubam informações confidenciais ou se movem em ambientes de nuvem afetados. Até o momento, a ameaça impactou diversas contas de e-mail, resultando em tentativas de fraude financeira.

 

A empresa continua monitorando o impacto da campanha e aconselha organizações locais e globais com atividades comerciais no Brasil a aumentarem sua conscientização, empregarem soluções de detecção de ATO e remediarem prontamente incidentes desse tipo para evitar danos potenciais.

 

Indicadores de comprometimento (IOCs)

Foram observados o nome da regra da caixa de correio, ‘dk01’, e os seguintes endereços IP: 2804:214:8616:54b6:10b6:1330:59fd:676b; 2804:214:8652:516c:59ee:1c9c:6e53:2d5a; 2804:214:8653:974e:e83c:eb00:c7a8:5057; 2804:214:8657:5c4f:340e:2ef0:b47d:b457. Também foi identificado o agente de usuário: ‘Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/126.0.0.0 Safari/537.36’

Conteúdos Relacionados

Security Report | Overview

F5 adquire organização de segurança de IA empresarial por 180 milhões de dólares

Movimento pode evidenciar a crescente preocupação com a implementação de estratégias para a IA empresarial e a necessidade de novas...
Security Report | Overview

ANPD assina acordo com autoridade dos Emirados Árabes para proteção de dados

Segundo o organização, a iniciativa é uma tentativa de fortalecer a cooperação entre países para a proteção de dados pessoais,...
Security Report | Overview

Girona F.C. forma nova parceria de Cibersegurança em seus sistemas

O clube espanhol de futebol, Girona FC, adota a arquitetura de cibersegurança para proteger seus ambientes digitais
Security Report | Overview

Tentativas de fraudes online atingem quase 60% dos brasileiros, revela pesquisa

Pesquisa revela que mais da metade dos brasileiros caem em golpes; Compras online e Pix concentram a maior quantidade de...