Um ator de ameaça vem abusando dos serviços de link wrapping de renomadas empresas de tecnologia para disfarçar links maliciosos que direcionam a páginas de phishing do Microsoft 365, as quais coletam credenciais de login.
O atacante explorou o recurso de segurança de URL da empresa de cibersegurança Proofpoint e da firma de comunicações em nuvem Intermedia em campanhas de junho a julho.
Alguns serviços de segurança de email incluem um recurso de link wrapping que reescreve as URLs na mensagem para um domínio confiável e as passa por um servidor de varredura projetado para bloquear destinos maliciosos.
A equipe de Segurança de Email da Cloudflare descobriu que o adversário legitimou as URLs maliciosas após comprometer contas de email protegidas pela Proofpoint e Intermedia, e provavelmente usou seu acesso não autorizado para distribuir os links "lavados".
"Os agressores abusaram do link wrapping da Proofpoint de várias maneiras, incluindo abuso de redirecionamento em múltiplos níveis com encurtadores de URL via contas comprometidas", disseram os pesquisadores.
"O abuso de link wrapping da Intermedia que observamos também se concentrou em obter acesso não autorizado a contas de email protegidas por link wrapping" - Segurança de Email da Cloudflare
O ator de ameaça adicionou uma camada de ofuscação, inicialmente encurtando o link malicioso antes de enviá-lo de uma conta protegida, o que automaticamente envolvia o link.
Os pesquisadores dizem que o atacante atraiu vítimas com notificações falsas de correio de voz ou documentos compartilhados do Microsoft Teams.
No final da cadeia de redirecionamento estava uma página de phishing do Microsoft Office 365 que coletava credenciais.
Na campanha que abusou do serviço da Intermedia, o ator de ameaça entregou emails fingindo ser uma notificação de mensagem segura "Zix" para visualizar um documento seguro, ou se passou por uma comunicação do Microsoft Teams informando sobre uma nova mensagem recebida.
O link supostamente levando ao documento era uma URL envolvida pelo serviço da Intermedia e redirecionava para uma página falsa da plataforma de marketing digital e por email Constant Contact hospedando a página de phishing.
Clicar no botão de resposta na notificação falsa do Teams levou a uma página de phishing da Microsoft que coletaria credenciais de login.
Ao disfarçar os destinos maliciosos com URLs legítimas de proteção de email, o ator de ameaça aumentou as chances de um ataque bem-sucedido, disseram os pesquisadores da Cloudflare.
Deve-se notar que abusar de serviços legítimos para entregar payloads maliciosos não é novidade, mas explorar o recurso de segurança de link wrapping é um desenvolvimento recente no cenário do phishing.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...