Os hackers exploram sendGrid para roubar credenciais de login de usuários no último ataque

Pesquisadores de segurança cibernética do Cofense Phishing Defense Center (PDC) descobriram um novo aumento nos ataques de coleta de credenciais que alavancam o serviço de email baseado em nuvem respeitável sendgrid para distribuir e-mails de phishing.

Os invasores estão explorando o status de confiança do SendGrid, comumente usado para comunicações transacionais e de marketing, para criar mensagens que evitam gateways de segurança de email padrão.

Ao falsificar endereços do remetente e imitar notificações legítimas de sendGrid, esses atores de ameaças entregam cargas úteis de phish Credenciais de usuário.

Campanha de phishing sofisticada

A campanha implanta três temas de email distintos, cada um projetado para explorar gatilhos psicológicos como urgência, curiosidade e ganância.

A primeira variante apresenta um aviso de linha de assunto de um “novo local de login”, completo com marcas polidas, logotipos de tamanho correto e uma tentativa de login suspeita fabricada de um endereço IP e um local falso.

Ele tranquiliza os destinatários com frases como “Se este era você, nenhuma ação adicional é necessária”, reduzindo sutilmente as defesas antes de solicitar cliques em um link malicioso rotulado como “Acesso clicando neste link”.

Este link, incorporado em um mecanismo de redirecionamento aberto, funaliza os usuários para um portal de login de sendGrid falsificado projetado para roubo de credencial.

Com base em técnicas de falsificação semelhantes, o segundo email atrai as vítimas com promessas de uma atualização gratuita para um “nível de elite” com benefícios premium, capitalizando o fascínio de vantagens exclusivas.

O corpo culmina em um prompt “Ativar benefícios de nível de elite”, contendo o link prejudicial, que novamente explora redirecionamentos para mascarar a verdadeira natureza do site de phishing.

O terceiro tema aumenta o pânico reivindicando uma alteração não autorizada para o número de telefone do usuário, instando a ação imediata por meio de um link “Configurações da conta de acesso” que redireciona para o mesmo domínio de colheita de credenciais.

Exploração de redirecionamentos abertos

No centro desta cadeia de ataques são abusadas de vulnerabilidades de redirecionamento aberto, como as observadas em domínios como o URL6849[.]DestinPropertyExpert[.]com/ls/clique?, que aceitam URLs arbitrários como parâmetros e redirecionam de acordo.

Essa tática manta destinos maliciosos por trás dos domínios confiáveis, ignorando os controles de detecção e segurança enquanto disfarçam o tráfego como legítimo.

As vítimas clicando nesses links pousam em páginas de phishing, como hxxps: // loginportalsg[.]com, que replica meticulosamente a interface do sendGrid, mas opera em domínios controlados pelo atacante.

Os principais sinalizadores vermelhos incluem URLs não oficiais, que os usuários devem examinar antes de inserir credenciais.

Esses e -mails de phishing demonstram engenharia social avançada, combinando falsificação de alias de email, variação temática e manipulação emocional para colher informações confidenciais.

De acordo com o relatórioO PDC enfatiza que essas campanhas aumentam os riscos de violações de dados, danos à reputação e interrupções operacionais para as empresas.

Para mitigar, as organizações devem implementar filtragem robusta de email, treinamento de conscientização do usuário sobre a verificação de URLs e autenticação de vários fatores. O agendamento de uma demonstração com cofense pode fornecer informações mais profundas sobre as estratégias de detecção e defesa do mundo real.

Indicadores de compromisso (IOCs)

Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!