Los investigadores de ciberseguridad han revelado los detalles de una nueva campaña de phishing que oculta las cargas efectos maliciosas al maltratar de los servicios de envoltorio de enlaces de Proofpoint e Intermedia para evitar las defensas.
“La envoltorio de enlaces está diseñada por proveedores como Proofpoint para proteger a los usuarios mediante el enrutamiento de todas las URL de clic a través de un servicio de escaneo, lo que les permite encerrar destinos maliciosos conocidos en el momento de hacer clic”, dijo el equipo de seguridad de correo electrónico de Cloudflare.
“Si proporcionadamente esto es efectivo contra las amenazas conocidas, los ataques aún pueden tener éxito si el escáner no ha traumatizado el enlace envuelto en la hora de clic”.
La actividad, observada en los últimos dos meses, ilustra una vez más cómo los actores de amenaza encuentran diferentes formas de beneficiarse las características legítimas y las herramientas de confianza para su preeminencia y realizar acciones maliciosas, en este caso, redirigiendo a las víctimas a las páginas de phishing de Microsoft 365.
Es de destacar que el exceso de la envoltorio de enlaces involucra a los atacantes que obtienen comunicación no facultado a cuentas de correo electrónico que ya usan la función interiormente de una estructura, de modo que cualquier mensaje de correo electrónico que contenga una URL maliciosa enviada desde esa cuenta se reescriba automáticamente con el enlace envuelto (por ejemplo, Urldefense.proofpoint (.) Com/V2/URL? U =
Otro aspecto importante se refiere a lo que Cloudflare claridad “exceso de redireccionamiento de niveles múltiples”, en el que los actores de amenaza primero encubren sus enlaces maliciosos utilizando un servicio de acortamiento de URL como Bitly, y luego envían el enlace acortado en un mensaje de correo electrónico a través de una cuenta solidaria de prueba, lo que hace que se observe por segunda vez.
Este comportamiento crea efectivamente una prisión de redirección, donde la URL pasa a través de dos niveles de ofuscación, la defensa de la URL de bitly y Proofpoint) ayer de aceptar a la víctima a la página de phishing.
En los ataques observados por la compañía de infraestructura web, los mensajes de phishing se disfrazan de notificaciones de correo de voz, instando a los destinatarios a hacer clic en un enlace para escucharlos, lo que finalmente los dirige a una falsa página de phishing de Microsoft 365 diseñada para capturar sus credenciales.
Las cadenas de infección alternativas emplean la misma técnica en los correos electrónicos que notifican a los usuarios de un supuesto documento recibido en los equipos de Microsoft y los engañan para que hagan clic en hipervínculos atrapados en los bocantes.
Una tercera variación de estos ataques se hace sobrevenir por equipos en los correos electrónicos, alegando que tienen mensajes no leídos y que pueden hacer clic en el clavija “Objetar en los equipos” integrado en los mensajes para redirigirlos a las páginas de cosecha de credenciales.
“Al encubrir destinos maliciosos con UrlDefense seguro (.) Proofpoint (.) Com y URL (.) URLS de PROPTECCIÓN ELECTIVO, el exceso de estas campañas de phishing de servicios de envoltorio de enlace de confianza aumenta significativamente la probabilidad de un ataque exitoso”, dijo Cloudflare.
El incremento se produce en medio de un aumento en los ataques de phishing que arman los archivos de gráficos de vectores escalables (SVG) para exceder las protecciones tradicionales anti-spam y anti-phishing e iniciar infecciones de malware de múltiples etapas.
“A diferencia de los archivos JPEG o PNG, los archivos SVG se escriben en XML y admiten el código JavaScript y HTML”, dijo el mes pasado la Celda de Integración de Ciberseguridad e Integración de Comunicaciones de Nueva Elástica. “Pueden contener scripts, hipervínculos y rudimentos interactivos, que pueden explotarse incrustando el código receloso interiormente de los archivos SVG inofensivos”.
Incluso se ha observado que las campañas de phishing incrustan enlaces de videoconferencia de teleobjetivo imitado en los correos electrónicos que, cuando se hacen clic, activan una prisión de redirección a una página falsa que imita una interfaz de aspecto realista, posteriormente de lo cual se les sirve un mensaje de “conexión de reunión programada” y llevado a una página de phishing que les impide que ingresen a sus credenciales para que reanuden la reunión.
“Desafortunadamente, en sitio de ‘reincorporarse’, las credenciales de la víctima anejo con su dirección IP, país y región se exfiltran a través de Telegram, una aplicación de transporte notoria por ‘comunicaciones seguras y cifradas, y inevitablemente se envían al actor de amenazas”, dijo Cofense en un referencia nuevo.
