Pesquisadores identificam ataque de controle de contas direcionado a organizações brasileiras

Os especialistas da Proofpoint indicaram que o agente hostil usa, desde junho, a criação de regras de caixa de e-mail pós-acesso para facilitar fraudes financeiras e extrair informações de contas comprometidas com base em palavras-chave específicas.

Compartilhar:

Pesquisadores da Proofpoint, Inc. identificaram uma campanha exclusiva em andamento de account takeover (ATO) – ataque que utiliza bots automatizados e outros métodos para roubar credenciais de acesso e controlar contas de usuários para ganhar dinheiro ou cometer fraudes – na nuvem, direcionada a organizações e instituições sediadas no Brasil, em diversos setores como moda, energia e educação.

 

Foram observados agentes de ameaças usando, desde junho, a criação de regras de caixa de e-mail pós-acesso para facilitar fraudes financeiras e extrair informações de contas comprometidas com base em palavras-chave específicas.

 

O ataque está relacionado a um pequeno conjunto limitado de endereços IP brasileiros como infraestrutura operacional aproveitado pelos atores da ameaça como infraestrutura operacional.

 

De acordo com a telemetria da Proofpoint, a criação de regras de caixas de e-mail maliciosas é uma tendência contínua no cenário de ameaças. Essa ação permite que os invasores permaneçam fora do radar enquanto executam fraudes, roubam informações confidenciais ou se movem em ambientes de nuvem afetados. Até o momento, a ameaça impactou diversas contas de e-mail, resultando em tentativas de fraude financeira.

 

A empresa continua monitorando o impacto da campanha e aconselha organizações locais e globais com atividades comerciais no Brasil a aumentarem sua conscientização, empregarem soluções de detecção de ATO e remediarem prontamente incidentes desse tipo para evitar danos potenciais.

 

Indicadores de comprometimento (IOCs)

Foram observados o nome da regra da caixa de correio, ‘dk01’, e os seguintes endereços IP: 2804:214:8616:54b6:10b6:1330:59fd:676b; 2804:214:8652:516c:59ee:1c9c:6e53:2d5a; 2804:214:8653:974e:e83c:eb00:c7a8:5057; 2804:214:8657:5c4f:340e:2ef0:b47d:b457. Também foi identificado o agente de usuário: ‘Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/126.0.0.0 Safari/537.36’

Conteúdos Relacionados

Security Report | Overview

Segurança na Saúde: custo médio de ciberataques atinge 5,3 milhões de dólares

No Brasil, Líder em ataques cibernéticos na América Latina e um dos cinco países mais visados no mundo, o setor...
Security Report | Overview

Segurança democratizada será uma das tendências de 2025, diz estudo

Gerenciar riscos cibernéticos em todos os níveis da força de trabalho – e não restringí-los apenas aos níveis mais altos...
Security Report | Overview

Como as mudanças anunciadas pela Meta podem impactar a Cibersegurança?

Políticas refeitas da plataforma representam um novo cenário em termos de cuidados contra golpes e riscos de segurança cibernética, alerta...
Security Report | Overview

Relatório aponta vulnerabilidades críticas em sistemas Microsoft, Cisco e Windows

A Redbelt Security também emitiu um alerta sobre o aumento de campanhas de phishing que utilizam táticas inovadoras para contornar...