Los investigadores de ciberseguridad han revelado detalles de una nueva campaña de phishing que oculta las cargas útiles maliciosas al evitar las defensas por abuso de servicios de envoltura de enlaces de Proofpoint e Intermedia.
«Los proveedores de enlaces están diseñados por proveedores como Proofpoint para proteger a los usuarios mediante el enrutamiento de todas las URL de clic a través del servicio de escaneo, lo que les permite bloquear los destinos maliciosos conocidos cuando se hace clic», dijo el equipo de seguridad de correo electrónico de Cloudflare.
«Esto es efectivo contra las amenazas conocidas, pero si el enlace envuelto cuando se hace clic no es marcado por el escáner, el ataque aún puede tener éxito».
Las actividades observadas en los últimos dos meses han mostrado una vez más cómo los actores de amenaza pueden encontrar diferentes formas de aprovechar las funciones legítimas y las herramientas confiables para llevar a cabo acciones maliciosas.
Vale la pena señalar que el abuso de envoltura de enlaces implica obtener acceso no autorizado a cuentas de correo electrónico que ya usan la función dentro de la organización. Por lo tanto, cualquier mensaje de correo electrónico con URL maliciosas enviadas desde esa cuenta se reescribirá automáticamente a un enlace envuelto (urldefense.proofpoint (.) COM/V2/URL? U =).
Otro aspecto importante es sobre lo que Cloudflare llama «abuso multiciario», donde los actores de amenaza usan primero los servicios de acortamiento de URL como Bitly para oscurecer los enlaces maliciosos, y luego Proofpoint envía el enlace abreviado a un mensaje de correo electrónico a través de la cuenta medida, oscureciendo la segunda vez.
Este comportamiento efectivamente crea una cadena de redirección. Esto hace que la URL pase por dos niveles de ofuscación (defensa de URL de punto bitly y de punto de prueba) antes de ser víctima de una página de phishing.
En los ataques observados por la compañía de infraestructura web, los mensajes de phishing exageran notificaciones de correo de voz, instando a los destinatarios a hacer clic en los enlaces para escucharlos y, en última instancia, señalarlos a una página falsa de phishing de Microsoft 365 diseñada para capturar calificaciones.
Las cadenas de infección alternativas emplean la misma técnica en los correos electrónicos que notifican a los usuarios de los documentos esperados recibidos por los equipos de Microsoft y los engañan haciendo clic en hipervínculos atrapados en Booby.
Una tercera variación de estos ataques afirma que puede hacerse pasar por un equipo en el correo electrónico, tener mensajes no leídos y hacer clic en el botón «Respuesta del equipo» integrado en el mensaje para redirigir a la página de cosecha de calificación.
«Al cubrir destinos maliciosos con UrlDefense legal (.) Proofpoint (.) Com y URL (.) URL de propocción de correo electrónico, el abuso de servicios de envoltura de enlace confiable en estas campañas de phishing aumenta significativamente las posibilidades de ataques exitosos», dice Cloudflare.
El desarrollo se produce en medio de un aumento en los ataques de phishing que arman los archivos de gráficos de vectores escalables (SVG) para evitar la prevención tradicional de spam y las protecciones de phishing y lanzar infecciones por malware de varias etapas.
«A diferencia de los archivos JPEG y PNG, los archivos SVG se escriben en XML y admiten el código JavaScript y HTML», dijo el mes pasado, dijo el mes pasado. «Estos pueden contener scripts, hipervínculos y elementos interactivos. Pueden explotarse incrustando el código malicioso en archivos SVG inofensivos».
También se ha observado que las campañas de phishing para incorporar los enlaces de videoconferencia de zoom falsos en los correos electrónicos. Cuando se hace clic, desencadena la cadena de redirección a una página falsa que imita una interfaz de aspecto realista, luego proporciona un mensaje de «Tiempo de conexión de capítulo», que se lleva a la página de phishing y le anima a calificar.
«Desafortunadamente, en lugar de ‘reincorporarse’, las calificaciones de las víctimas y las direcciones IP, los países y las regiones se extraen a través de Telegram, una aplicación de mensajería bien conocida por su ‘seguridad y comunicaciones cifradas’ e inevitablemente se envían a actores de amenazas», dijo Cofense en un informe reciente.
Source link
