- E-mails falsos da Boots alcançaram 8,9 milhões de endereços por meio de uma campanha massiva de phishing
- Hackers usaram o site do governo para enganar seus visitantes e fazê-los comprar na página de checkout
- Atacantes romenos transformaram os servidores de negócios da empresa em uma plataforma de distribuição de e-mail
Milhões de compradores no Reino Unido foram expostos a uma promoção falsa da Boots depois que hackers enviaram e-mails oferecendo um pacote de amostras grátis de produtos de beleza durante uma grande campanha de phishing.
A operação usou uma pesquisa falsa com clientes para coletar informações pessoais e, ao mesmo tempo, direcionar as vítimas para um processo de busca fraudulento solicitando informações confidenciais.
Inquisidores de A caçadora clamor, a campanha de que 8.894.920 endereços de e-mail e infraestrutura estavam conectados a agentes de ameaças de língua romena.
Botas falsas oferecem a ajuda de ótimos ganchos de trabalho
Os e-mails pareciam vir de lojas e incentivavam os destinatários a preencher uma breve pesquisa em troca de uma amostra de pacote de beleza e benefícios promocionais.
A campanha de branding dependia de fazer com que a mensagem parecesse legítima e, ao mesmo tempo, direcionar os usuários para um local designado próximo para coleta de informações.
A página falsa detalha os nomes solicitados; endereço de e-mail, data de nascimento, número de telefone e endereço residencial antes de acessar as informações de pagamento.
A Venatrix encontrou conteúdo de phishing hospedado em um site do governo boliviano designado como pertencente ao IPELC, em vez do domínio do invasor.
Eles colocaram o kit de phishing em um diretório oculto no domínio legítimo do governo para aproveitar sua reputação existente.
A campanha por e-mail foi enviada usando o Gammadyne Mailer, um aplicativo legítimo de envio em massa que os invasores configuraram em um servidor comercialmente criptografado do Reino Unido.
O servidor não foi usado para explicar o preço do resgate ou para roubar arquivos daquela empresa, mas como plataforma para enviar e-mails fraudulentos.
Os atacantes carregaram seis listas de destinatários denominadas milk (1) até milk (6) contendo quase 8,9 milhões de endereços de e-mail preparados para a guerra.
O caçador recebeu um documento chamado dragon.mmp, que continha detalhes sobre configurações de e-mail, links de phishing e configuração de campanha.
Sistemas comprometidos ajudaram a libertar o correio falso
Os investigadores descobriram que os invasores acessaram empresas do Reino Unido por meio de um sistema aberto de acesso remoto usando credenciais roubadas antes de realizar a operação.
O destinatário então envia mensagens diretamente da conexão de Internet da organização, mantendo sua infraestrutura escondida de hackers.
O servidor está configurado para entrega direct-mx, usando 666 threads simultâneos com aceleração zero aplicada para maximizar a velocidade de envio.
A Venatrix bloqueou individualmente todos os 25 endpoints conectados ao ambiente de negócios e 29.954 conexões ESMTP, em um período de 104 segundos.
A empresa também contatou o CSIRT nacional da Bolívia depois de descobrir que o site do governo foi hackeado e usado para hospedar material de phishing.
Os arquivos recuperados sugeriam que a campanha da Boots fazia parte de uma campanha mais ampla envolvendo outros tópicos focados no Reino Unido, incluindo notícias sobre impostos e criptomoedas.
O mesmo kit de ferramentas foi visto em vários sistemas de construção renderizados após julho de 2025.
Siga o TechRadar no Google Notícias e adicione-nos para encomendar a primavera para receber notícias, análises e opiniões de nossos especialistas em seu feed.
