Pesquisadores de cibersegurança revelaram detalhes de uma nova campanha de phishing que esconde payloads maliciosos abusando dos serviços de link wrapping de empresas como Proofpoint e Intermedia para contornar defesas.
"O link wrapping foi criado por vendedores como a Proofpoint para proteger usuários, direcionando todos os URLs clicados por um serviço de escaneamento, permitindo bloquear destinos maliciosos conhecidos no momento do clique", disse a equipe de Segurança de E-mail da Cloudflare.
"Embora isso seja eficaz contra ameaças conhecidas, ataques ainda podem ter sucesso se o link embrulhado não for marcado pelo escaneador no momento do clique."
A atividade, observada nos últimos dois meses, ilustra novamente como atores de ameaças encontram diferentes maneiras de aproveitar recursos legítimos e ferramentas confiáveis para sua vantagem e realizar ações maliciosas, neste caso, redirecionando vítimas para páginas de phishing do Microsoft 365.
É digno de nota que o abuso de link wrapping envolve os atacantes obtendo acesso não autorizado a contas de e-mail que já usam o recurso dentro de uma organização, de modo que qualquer mensagem de e-mail contendo uma URL maliciosa enviada dessa conta é automaticamente reescrita com o link embrulhado (por exemplo, urldefense.proofpoint[.]com/v2/url?u=<website_malicioso>).
Outro aspecto importante diz respeito ao que a Cloudflare chama de "abuso de redirecionamento multi-níveis", no qual os atores de ameaças primeiro ocultam seus links maliciosos usando um serviço de encurtamento de URL como Bitly, e então enviam o link encurtado em uma mensagem de e-mail via uma conta segurada pela Proofpoint, fazendo com que seja obscurecido uma segunda vez.
Esse comportamento efetivamente cria uma cadeia de redirecionamento, onde a URL passa por dois níveis de ofuscação – Bitly e a URL Defense da Proofpoint – antes de levar a vítima à página de phishing.
Nos ataques observados pela empresa de infraestrutura da web, as mensagens de phishing se disfarçam como notificações de correio de voz, instando os destinatários a clicar em um link para ouvi-las, direcionando-os finalmente a uma página falsa de phishing do Microsoft 365 projetada para capturar suas credenciais.
Cadeias de infecção alternativas empregam a mesma técnica em emails que notificam os usuários sobre um suposto documento recebido no Microsoft Teams e os enganam para clicar em hyperlinks armadilhados.
Uma terceira variação desses ataques se passa por Teams em emails, alegando que eles têm mensagens não lidas e que podem clicar no botão "Responder no Teams" embutido nas mensagens para redirecioná-los a páginas de coleta de credenciais.
"Ao ofuscar destinos maliciosos com URLS legítimas do tipo urldefense[.]proofpoint[.]com e url[.]emailprotection, o abuso dessas campanhas de phishing de serviços confiáveis de link wrapping aumenta significativamente a probabilidade de um ataque bem-sucedido", disse a Cloudflare.
O desenvolvimento ocorre em meio a um aumento nos ataques de phishing que armam arquivos Scalable Vector Graphics (SVG) para contornar proteções tradicionais anti-spam e anti-phishing e iniciar infecções de malware em múltiplos estágios.
"Diferente de arquivos JPEG ou PNG, arquivos SVG são escritos em XML e suportam códigos JavaScript e HTML", disse a New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) no mês passado.
"Eles podem conter scripts, hyperlinks e elementos interativos, que podem ser explorados ao embutir código malicioso dentro de arquivos SVG inofensivos."
Campanhas de phishing também foram observadas embutindo links falsos de videoconferências do Zoom em emails que, ao serem clicados, iniciam uma cadeia de redirecionamento para uma página falsa que mimetiza uma interface realista, após a qual recebem uma mensagem de "conexão de reunião expirada" e são levados a uma página de phishing que os solicita a inserir suas credenciais para reentrar na reunião.
"Infelizmente, ao invés de 'reentrar', as credenciais da vítima junto com seu endereço IP, país e região são exfiltrados via Telegram, um aplicativo de mensagens notório por 'comunicações seguras e criptografadas', e inevitavelmente enviados ao ator de ameaça", disse a Cofense em um relatório recente.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...