Центр оперативного управления безопасностью (SOC) компании Evalian выявил сложную фишинговую кампанию, нацеленную на пользователей HubSpot. Инцидент демонстрирует, как злоумышленники всё чаще злоупотребляют доверенными платформами для обхода современных средств защиты электронной почты.
В рамках кампании использовались письма, максимально похожие на официальные уведомления HubSpot. Получателей предупреждали о росте числа отписок и предлагали войти в систему для проверки эффективности маркетинговых кампаний. Содержание, структура и визуальное оформление практически полностью соответствовали легитимным сервисным письмам.
Хотя встроенные URL-адреса выглядели безвредно, вредоносная ссылка была спрятана в отображаемом имени отправителя — приёме, позволяющем обходить защищённые почтовые шлюзы (SEG), которые редко анализируют это поле.
Для повышения доверия злоумышленники скомпрометировали легитимный аккаунт MailChimp с помощью атаки класса BEC и распространили фишинговые письма через эту доверенную платформу. В результате сообщения успешно проходили проверки SPF, DKIM и DMARC и обходили почтовые фильтры безопасности.
После перехода по вредоносной ссылке жертвы перенаправлялись через скомпрометированный легитимный сайт canvthis[.]com на фишинговый домен hxxps://hubspot-campaigns[.]com/login, где размещалась полностью клонированная страница входа в HubSpot, предназначенная для перехвата учётных данных.
Анализ инфраструктуры связал кампанию с IP-адресом 193[.]143[.]1[.]220, размещённым у провайдера Proton66 OOO (ASN AS198953), который часто ассоциируется с фишинговыми и спам-операциями. Конфигурация VPS с открытыми сервисами и административными портами указывает на его повторное использование в краткосрочных фишинговых кампаниях.
SOC Evalian разработал и внедрил правила обнаружения на основе IP-адресов, доменов и TLS-артефактов, включая отпечатки JARM. Хотя исходное письмо получил только один клиент, механизмы обнаружения были заранее развернуты во всех контролируемых средах.
Этот кейс отражает более широкий сдвиг в сторону модели «фишинг как услуга», при которой злоумышленники используют легитимные маркетинговые инструменты для завоевания доверия и масштабирования атак.
Хотя SPF, DKIM и DMARC остаются важными, они не способны предотвратить злоупотребления со стороны доверенных отправителей и аутентифицированных сторонних платформ.
Критически важным становится обучение сотрудников.
В этой кампании эксплуатировались привычные рабочие процессы и узнаваемые бренды, а не невнимательность пользователей. Эффективное обучение должно формировать навык замечать контекстные аномалии, задавать вопросы к неожиданным запросам — даже если они исходят от знакомых сервисов, — и понимать, что «легитимный отправитель» не всегда означает «легитимное намерение».
Полученные результаты подчёркивают важность непрерывного мониторинга SOC, проактивного поиска угроз и постоянного обучения сотрудников для противодействия продвинутым фишинговым атакам.