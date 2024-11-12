Em julho de 2024, a X-Force observou uma mudança no meio da campanha nos e-mails distribuídos pela Hive0145, com as mensagens curtas e genéricas sendo substituídas pelo que pareciam ser e-mails roubados legítimos. Os e-mails de phishing correspondiam exatamente aos e-mails oficiais de comunicação de faturas e, em alguns casos, ainda se dirigiam diretamente aos destinatários originais pelo nome. X-Force conseguiu verificar que os e-mails eram de fato notificações de faturas autênticas de uma variedade de entidades dos setores financeiro, de tecnologia, manufatura, mídia, comércio eletrônico e outros setores. É provável que o grupo tenha obtido os e-mails por meio de credenciais anteriormente exfiltradas de suas campanhas anteriores.

O conceito de usar e-mails roubados não é novo, foi usado amplamente pelo grupo Emotet e distribuidores de malware, como Hive0118 (também conhecido como TA577), TA551 e TA570. Em suas campanhas, eles aproveitavam o sequestro de encadeamento, onde novos encadeamentos para e-mails roubados eram usados como forma de aumentar a aparência de legitimidade. Os e-mails modificados foram enviados aos contatos correspondentes de vítimas anteriores, fazendo com que o e-mail final parecesse uma resposta ao e-mail roubado, interceptando assim o encadeamento de e-mails. O texto que os distribuidores adicionam aos e-mails geralmente é uma resposta curta, solicitando que as vítimas vejam os anexos ou URLs incluídos.

A técnica empregada pelo Hive0145 difere do thread-hijacking porque, em vez de adicionar uma mensagem de resposta ao e-mail roubado, o conteúdo original permanece praticamente inalterado e apenas o anexo é alterado para incluir uma carga útil maliciosa com o nome de arquivo original (sem a extensão original) . Dentro do corpo do e-mail, o Hive0145 também substitui a parte local e o domínio do remetente de e-mail original pela da nova vítima de phishing para personalizar o e-mail. Os e-mails com anexos sequestrados são então enviados em campanhas de phishing em massa. O Hive0145 também parece considerar cuidadosamente os e-mails sequestrados, selecionando apenas aqueles que se referem a faturas e contêm anexos. O X-Force observa a técnica de sequestro de anexos desde meados de 2024 em campanhas direcionadas a falantes de alemão, espanhol e ucraniano.