تتعرض حسابات مستخدمي HubSpot حالياً لحملة تصيد متطورة تستهدف سرقة بيانات الاعتماد. تأتي هذه الحملة كتهديد جديد للشركات التي تعتمد على منصة التسويق وإدارة علاقات العملاء هذه.
تعتمد الحملة على هجمات الهندسة الاجتماعية المبتكرة، حيث تمزج بين أساليب اختراق البريد الإلكتروني التجاري (BEC) واختطاف المواقع الإلكترونية. الهدف هو إيصال برامج ضارة مصممة لسرقة بيانات تسجيل الدخول إلى المحترفين في مجالات التسويق وفرق الأعمال.
حملة تصيد تستهدف مستخدمي HubSpot
تبدأ هذه الحملة برسائل بريد إلكتروني احترافية تبدو وكأنها مرسلة من حسابات أعمال شرعية. تدعو هذه الرسائل المستلمين إلى تسجيل الدخول إلى حساباتهم على HubSpot لمراجعة حملات تسويقية، مبررة ذلك بارتفاع غير عادي في حالات إلغاء الاشتراك.
تستخدم الحملة منصة MailChimp لتوزيع الهجمات على نطاق واسع. هذا الاستخدام الاستراتيجي لمنصة موثوقة يساعد على تجاوز بوابات البريد الإلكتروني الآمنة، نظراً لسمعة MailChimp الطيبة.
الابتكار في آلية التصيد
من جهة أخرى، لاحظ باحثون أن رسائل التصيد تستخدم تقنية خادعة تتمثل في تضمين الروابط الخبيثة في اسم العرض الخاص بالمرسل بدلاً من نص البريد الإلكتروني نفسه. هذه الطريقة تتيح تجاوز العديد من ضوابط الأمان البريدي التي تركز عادةً على فحص محتوى الرسالة فقط، وتتجاهل مجال المرسل.
بالإضافة إلى ذلك، فإن استخدام نطاقات تجارية شرعية تم اختراقها يجعل هذه الرسائل تبدو أصلية لكل من الأنظمة الآلية وقراءتها البشرية.
بمجرد أن ينقر الضحايا على الرابط المضمن، يتم توجيههم من موقع ويب مخترق إلى بوابة تسجيل دخول وهمية شبيهة تماماً بواجهة HubSpot. تستضيف هذه البوابة الوهمية بنية تحتية مشبوهة تابعة لمزود استضافة روسي، مما يثير قلقاً بشأن طبيعة الجهة المنفذة.
عندما يقوم المستخدمون بإدخال بيانات اعتمادهم، يتم إرسال هذه المعلومات إلى ملف “login.php” ليتم التقاطها من قبل المهاجمين. إن بنية رسائل التصيد وصفحات تسجيل الدخول المزيفة مصممة بعناية لتقليد واجهة HubSpot الأصلية.
البنية التحتية للاستضافة
تعتمد آلية الإصابة على جمع بيانات اعتماد المستخدمين الصالحة بدلاً من تسليم برامج ضارة تقليدية. أكد محللو Evalian أن البنية التحتية للاستضافة تستخدم خادماً افتراضياً خاصاً (VPS) يديره Plesk، مع وجود خدمات بريد مفتوحة مثل Postfix و Dovecot.
يكشف عنوان IP 193.143.1.220 عن مجموعة واسعة من المنافذ المفتوحة بشكل غير عادي، بما في ذلك خدمات SMTP على المنافذ 25 و 465، و IMAP على المنافذ 143 و 993، بالإضافة إلى واجهات إدارية متعددة لـ Plesk. هذا التكوين شائع في البنى التحتية المصممة للنشر السريع وتدوير حملات التصيد.
وأكد تحليل البنية التحتية أن عنوان IP مرتبط بالعديد من محاولات التصيد الأخرى، مما يشير إلى نمط من النشاط الهجومي المنظم. تتيح لوحات تحكم Plesk المكشوفة للمهاجمين نشر صفحات تصيد جديدة بسرعة، وإدارة حسابات البريد الإلكتروني المخترقة، وتدوير البنية التحتية لتجنب الكشف.
لذلك، يجب على المؤسسات تطبيق تدابير أمنية متعددة الطبقات تتجاوز بروتوكولات مصادقة البريد الإلكتروني القياسية للحماية من التهديدات المتطورة.