Pesquisadores identificam ataque de controle de contas direcionado a organizações brasileiras

Os especialistas da Proofpoint indicaram que o agente hostil usa, desde junho, a criação de regras de caixa de e-mail pós-acesso para facilitar fraudes financeiras e extrair informações de contas comprometidas com base em palavras-chave específicas.

Compartilhar:

Pesquisadores da Proofpoint, Inc. identificaram uma campanha exclusiva em andamento de account takeover (ATO) – ataque que utiliza bots automatizados e outros métodos para roubar credenciais de acesso e controlar contas de usuários para ganhar dinheiro ou cometer fraudes – na nuvem, direcionada a organizações e instituições sediadas no Brasil, em diversos setores como moda, energia e educação.

 

Foram observados agentes de ameaças usando, desde junho, a criação de regras de caixa de e-mail pós-acesso para facilitar fraudes financeiras e extrair informações de contas comprometidas com base em palavras-chave específicas.

 

O ataque está relacionado a um pequeno conjunto limitado de endereços IP brasileiros como infraestrutura operacional aproveitado pelos atores da ameaça como infraestrutura operacional.

 

De acordo com a telemetria da Proofpoint, a criação de regras de caixas de e-mail maliciosas é uma tendência contínua no cenário de ameaças. Essa ação permite que os invasores permaneçam fora do radar enquanto executam fraudes, roubam informações confidenciais ou se movem em ambientes de nuvem afetados. Até o momento, a ameaça impactou diversas contas de e-mail, resultando em tentativas de fraude financeira.

 

A empresa continua monitorando o impacto da campanha e aconselha organizações locais e globais com atividades comerciais no Brasil a aumentarem sua conscientização, empregarem soluções de detecção de ATO e remediarem prontamente incidentes desse tipo para evitar danos potenciais.

 

Indicadores de comprometimento (IOCs)

Foram observados o nome da regra da caixa de correio, ‘dk01’, e os seguintes endereços IP: 2804:214:8616:54b6:10b6:1330:59fd:676b; 2804:214:8652:516c:59ee:1c9c:6e53:2d5a; 2804:214:8653:974e:e83c:eb00:c7a8:5057; 2804:214:8657:5c4f:340e:2ef0:b47d:b457. Também foi identificado o agente de usuário: ‘Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/126.0.0.0 Safari/537.36’

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

IA agêntica exige CIOs com visão de RH

Artigo trata que IA agêntica surge como “nova colega de trabalho” nas empresas, exigindo dos CIOs uma gestão semelhante à...
Security Report | Overview

Setor de Educação mostra fortalecimento contra o ransomware em estudo

97% da vítimas do segmento recuperaram dados criptografados e pagamentos de resgate caíram drasticamente
Security Report | Overview

Relatório: Ciberataques globais seguem em níveis elevados e Brasil está entre os mais expostos

Os pesquisadores relatam que ataques cibernéticos globais atingiram o volume de quase 2.000 por semana por organização em agosto; no...
Security Report | Overview

Incidentes cibernéticos podem derrubar preço das ações em até 1,5%, revela estudo

Levantamento revela correlação direta entre ataques digitais e perdas financeiras prolongadas nas maiores empresas dos EUA