Los ciberdelincuentes no se detienen, y cada vez encuentran formas más ingeniosas de engañarnos. Un caso reciente que pone los pelos de punta es cómo han estado abusando de HubSpot, una plataforma confiable, para lanzar ataques de phishing dirigidos a miles de cuentas de Microsoft Azure. Lo más alarmante es que esta campaña no solo está increíblemente bien diseñada, sino que también está dirigida a sectores clave como la fabricación automotriz, química e industrial en Alemania y el Reino Unido, lo que eleva aún más las apuestas.
Usando enlaces de HubSpot Free Form Builder y archivos PDF que imitan a DocuSign, los atacantes redirigen a las víctimas a páginas falsas para robar credenciales. Según los investigadores de la Unidad 42 de Palo Alto Networks, esta campaña, activa entre junio y septiembre de 2024, ya ha comprometido alrededor de 20,000 cuentas. ¿Te imaginas recibir un correo que parece completamente legítimo, pero que termina siendo una trampa tan elaborada? Aquí te contamos cómo funciona este ataque y, lo más importante, cómo protegerte.
HubSpot usado como herramienta para robar credenciales
HubSpot es una plataforma muy conocida y confiable, diseñada para ayudar a las empresas con tareas como la automatización de marketing, ventas, servicio al cliente y la creación de sitios web o páginas de destino. Entre sus muchas funciones, cuenta con un generador de formularios que permite a los usuarios crear formularios personalizados para recopilar información de los visitantes de su sitio web.
Pero en las manos equivocadas, incluso las herramientas más legítimas pueden ser peligrosas. En una reciente campaña de phishing, los ciberdelincuentes encontraron la manera de usar el generador de formularios de HubSpot para su beneficio. Crearon al menos 17 formularios falsos diseñados para engañar a las personas y hacer que proporcionaran sus credenciales confidenciales.
Lo importante aquí es que la infraestructura de HubSpot como tal no fue hackeada. En cambio, los atacantes usaron esta herramienta legítima como un puente para redirigir a las víctimas a sitios falsos, alojados en dominios “.buzz”, que imitaban a la perfección las páginas de inicio de sesión de Microsoft Outlook Web App y Azure. Este movimiento tan calculado demuestra lo creativos que pueden ser los actores maliciosos al aprovechar plataformas confiables para sus estafas.
Página de phishing dirigida a cuentas de Outlook
En estos ataques, los ciberdelincuentes no se limitaron a imitar páginas de Microsoft. También crearon sitios falsos que parecían sistemas de gestión de documentos como DocuSign, portales de notarías francesas e incluso páginas de inicio de sesión diseñadas específicamente para ciertas organizaciones.
¿Cómo lograron que las víctimas cayeran? Usaron correos electrónicos disfrazados con la marca de DocuSign, que incluían enlaces a HubSpot. Estos enlaces podían estar incrustados en archivos PDF adjuntos o directamente en el código HTML del correo. Una vez que las personas hacían clic, eran redirigidas a estas páginas falsas, donde los atacantes intentaban robar sus credenciales. Una estafa meticulosamente diseñada para parecer legítima en cada paso.
Ejemplo de correo electrónico de phishing
Como los correos incluyen enlaces a un servicio legítimo como HubSpot, la mayoría de las herramientas de seguridad de correo electrónico no los detectan como sospechosos. Esto hace que sea mucho más probable que estos mensajes lleguen directo a las bandejas de entrada de las víctimas, sin levantar alertas.
Eso sí, los correos de esta campaña de phishing no lograron pasar algunas verificaciones importantes, como SPF, DKIM y DMARC, que son protocolos diseñados para validar la autenticidad de los mensajes. Aunque esto podría haber sido una señal de alerta para sistemas más avanzados, no fue suficiente para evitar que muchos de estos correos fraudulentos alcanzaran su objetivo.
Cadena del Ataque (Fuente: Unidad 42)
Podría interesarte leer: Ataques con DarkGate: Hackers usan Microsoft Teams y AnyDesk
¿Qué pasa después de que logran acceder a una cuenta?
En los casos donde los atacantes lograron comprometer cuentas, llevaron las cosas al siguiente nivel para mantener el control. Usaron redes VPN para que pareciera que estaban operando desde el mismo país de la organización afectada, lo que hacía más difícil detectarlos como intrusos.
En uno de los incidentes, cuando el equipo de TI logró recuperar el acceso a una cuenta comprometida, los atacantes respondieron de inmediato iniciando un restablecimiento de contraseña para intentar recuperarla. Esto desencadenó una especie de "tira y afloja", con ambos lados luchando por tomar el control de la cuenta en tiempo real.
Además, se identificó un nuevo Número de Sistema Autónomo (ASN) relacionado con la campaña, que podría ser clave para identificar futuros ataques. También se detectaron cadenas de agente de usuario inusuales que los atacantes usaron para camuflarse mejor.
Aunque muchos de los servidores que sostuvieron esta operación ya están fuera de línea, este caso es otro recordatorio de cómo los ciberdelincuentes encuentran formas creativas de aprovechar servicios legítimos para evadir las herramientas de seguridad. Siempre están buscando nuevas formas de ganar ventaja, y es por eso que nunca podemos bajar la guardia.
Conclusión
El ataque que comprometió 20,000 cuentas de Microsoft Azure usando HubSpot como vehículo nos deja una lección clara: ninguna herramienta, por confiable que sea, está exenta de ser utilizada con fines maliciosos. Sin embargo, protegerse es posible con una combinación de educación, buenas prácticas de ciberseguridad y herramientas avanzadas. Los ciberdelincuentes evolucionan constantemente, por lo que debemos ser proactivos para minimizar riesgos y proteger nuestros datos antes de que sea demasiado tarde.
En este contexto, contar con soluciones robustas como TecnetProtect es clave. Este tipo de herramientas no solo detectan y bloquean correos electrónicos maliciosos, sino que también refuerzan la seguridad del email, uno de los puntos más vulnerables frente a ataques. Esta solución ofrece una capa adicional de seguridad al realizar backups automáticos de tus datos. Esto garantiza que, incluso si ocurre un ataque, puedas recuperar rápidamente tu información sin interrupciones.
