Resumo
Pesquisadores apontam uma campanha ativa de phishing que tem como alvo usuários do HubSpot. A operação combina engenharia social, comprometimento de sites legítimos e infraestrutura em hosting “bulletproof” para colher credenciais via portal falso.
Descoberta e evidências
Relatada pelo Cyber Security News com base em análise da Evalian, a campanha usa e-mails cuidadosamente montados que aparentam vir de contas empresariais legítimas. Mensagens solicitam login no HubSpot alegando, por exemplo, uma anomalia em campanhas de e-mail (pico de cancelamentos).
Vetor e técnica de evasão
Um dos aspectos técnicos destacados pela análise da Evalian é o uso de URLs maliciosas embutidas no display name do remetente, em vez do corpo da mensagem. Segundo os pesquisadores, isso burla muitos controles de segurança que inspecionam o conteúdo das mensagens mas nem sempre verificam o campo do remetente.
Infraestrutura de hospedagem
A cadeia de redirecionamento leva a um portal de login falso que, conforme a reportagem, está hospedado na infraestrutura da Proton66 OOO — descrita como um provedor russo do tipo “bulletproof” associado ao ASN AS198953. A infraestrutura identificada utiliza um servidor virtual gerenciado por Plesk e serviços de e-mail expostos (Postfix, Dovecot).
- IP citado: 193.143.1.220, com múltiplas portas abertas incluindo SMTP (25, 465) e IMAP (143, 993).
- Portal falso replica a interface do HubSpot e envia credenciais para um arquivo login.php controlado pelos operadores.
Escala e modus operandi
O ataque se apoia na distribuição via MailChimp, aproveitando a reputação da plataforma para passar por filtros de e-mail. A combinação de domínio empresarial comprometido, mensagens bem construídas e infraestrutura rotativa (painéis Plesk expostos) sugere operação organizada com capacidade de lançar e girar páginas de phishing em escala.
O que se sabe e o que falta
A reportagem e a análise indicam controle de infraestrutura específica e técnica de engenharia social. Faltam, porém, dados públicos sobre o alcance real (número de usuários afetados), indicadores adicionais de comprometimento (lista de domínios usados) e se houve variações do payload além da captura direta de credenciais. Também não há declaração pública oficial da HubSpot citada na matéria consultada.
Implicações e recomendações
Para equipes de segurança e operação que utilizam HubSpot ou gerenciam times de marketing:
- Reforce autenticação multifator (MFA) nas contas do HubSpot e serviços associados.
- Alerta-se equipes de marketing sobre a técnica de inserção de URL no display name e a necessidade de verificação do remetente e do destino real do link (hover/inspeção).
- Bloqueie e monitore conexões para infraestrutura conhecida (IP citado 193.143.1.220 e ASN AS198953) até que investigações indiquem mitigação.
- Implemente controles de DMARC/DKIM/SPF e revisão de listas de remetentes confiáveis; monitore envios originados de provedores de terceiros como MailChimp.
Conclusão
A campanha descrita pela Evalian e reportada no Cyber Security News enfatiza um vetor ainda eficaz: phishing bem dirigido combinado a infraestrutura rotativa em provedores tolerantes a abusos. A ação captura credenciais via portal falso em login.php; não há indicação pública, na matéria, de entrega de malware além da exfiltração de credenciais. Falta informação sobre o impacto em números — portanto, organizações devem assumir risco potencial elevado e aplicar mitigadores imediatos.
Fonte: Cyber Security News (Tushar Subhra Dutta) com análise da Evalian. A matéria documenta técnica e infraestrutura, mas não quantifica vítimas nem traz confirmação oficial da HubSpot no texto referenciado.