Cybersecurity -onderzoekers hebben details bekendgemaakt van een nieuwe phishing -campagne die kwaadaardige payloads verbergt door linkverpakkingsdiensten te misbruiken van Proofpoint en Intermedia tot omzeilen.
“Linkwikkeling is ontworpen door leveranciers zoals Proofpoint om gebruikers te beschermen door alle geklikte URL’s te routeren via een scanservice, waardoor ze bekende kwaadaardige bestemmingen kunnen blokkeren op het moment van klik,” zei het e -mailbeveiligsteam van CloudFlare.
“Hoewel dit effectief is tegen bekende bedreigingen, kunnen aanvallen nog steeds slagen als de ingepakte link niet tijdens de kliktijd door de scanner is gemarkeerd.”
De activiteit, waargenomen in de afgelopen twee maanden, illustreert opnieuw hoe dreigingsacteurs verschillende manieren vinden om legitieme functies en vertrouwde tools in hun voordeel te benutten en kwaadaardige acties uit te voeren, in dit geval slachtoffers om te leiden naar Microsoft 365 phishing -pagina’s.
Het is opmerkelijk dat het misbruik van verbindingsverwikkeling van links dat de aanvallers niet -geautoriseerde toegang krijgen tot e -mailaccounts die de functie al binnen een organisatie gebruiken, zodat elk e -mailbericht met een kwaadaardige URL die vanuit dat account wordt verzonden, automatisch wordt herschreven met de ingeregde link (bijv. Urldefense.Proof (.) COM/V2/url? U =
Een ander belangrijk aspect betreft wat CloudFlare ‘meerlagig omleidingsmisbruik’ noemt, waarin de dreigingsacteurs eerst hun kwaadaardige links versterken met behulp van een URL-verkortingsservice zoals bitly, en vervolgens de verkorte link in een e-mailbericht verzenden via een ProofPoint-beveiligd account, waardoor het een tweede keer werd verduisterd.
Dit gedrag creëert effectief een omleidingsketen, waarbij de URL door twee niveaus van verduistering stroomt – bitly en Proofpoint’s URL -verdediging – voordat het slachtoffer naar de phishing -pagina wordt gebracht.
In de aanvallen van het webinfrastructuurbedrijf vermomden de phishing -berichten als voicemailmeldingen, waarbij ontvangers aansporen om op een link te klikken om naar hen te luisteren, waardoor ze uiteindelijk naar een nep Microsoft 365 phishing -pagina worden gericht om hun geloofsbrieven vast te leggen.
Alternatieve infectieketens maken gebruik van dezelfde techniek in e-mails die gebruikers op de hoogte stellen van een verondersteld document dat op Microsoft-teams is ontvangen en ze te misleiden om op booby-gevangen hyperlinks te klikken.
Een derde variatie van deze aanvallen zorgt voor teams in e -mails en beweert dat ze ongelezen berichten hebben en dat ze kunnen klikken op de knop “Antwoord in teams” ingebed in de berichten om ze om te leiden naar de oogstpagina’s van de referenties.
“Door kwaadaardige bestemmingen te cloceren met legitieme urldefense (.) Proofpoint (.) Com en url (.) E -mailprotectie -URL’s, verhoogt het misbruik van deze phishing -campagnes van vertrouwde link inpakdiensten de kans op een succesvolle aanval aanzienlijk,” zei Cloudflare.
De ontwikkeling komt te midden van een piek in phishing-aanvallen die schaalbare Vector Graphics (SVG) -bestanden bewapent om traditionele anti-spam- en anti-phishing-bescherming te omzeilen en multi-fase malware-infecties te initiëren.
“In tegenstelling tot JPEG- of PNG -bestanden, worden SVG -bestanden geschreven in XML en ondersteunen ze JavaScript en HTML -code,” zei de New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) vorige maand. “Ze kunnen scripts, hyperlinks en interactieve elementen bevatten, die kunnen worden benut door kwaadaardige code in onschadelijke SVG -bestanden in te bedden.”
PHIBLE-campagnes zijn ook waargenomen inbedding nepzoom videoconferentielinks in e-mails die, wanneer geklikt, een omleidingsketen activeren naar een neppagina die een realistisch ogende interface nabootst, waarna ze een “vergaderverbinding worden aangebracht” bericht “Bericht en genomen naar een phishing-pagina die hen vraagt om hun credenties in te voeren.
“Helaas, in plaats van ‘zich bij’ te ‘voegen’, worden de referenties van het slachtoffer samen met hun IP -adres, land en regio geëxfiltreerd via Telegram, een berichten -app berucht voor ‘beveiligde, gecodeerde communicatie’, en onvermijdelijk verzonden naar de dreigingsacteur,” zei Cofense in een recent rapport.
