Les chercheurs en cybersécurité ont divulgué les détails d’une nouvelle campagne de phishing qui cache des charges utiles malveillantes en abusant des services d’emballage de liens de Proofpoint et Intermedia pour contourner les défenses.
“L’emballage des liens est conçu par des fournisseurs comme Proofpoint pour protéger les utilisateurs en achetant toutes les URL cliqués via un service de numérisation, leur permettant de bloquer les destinations malveillantes connues au moment du clic”, a déclaré l’équipe de sécurité des e-mails CloudFlare.
“Bien que cela soit efficace contre les menaces connues, les attaques peuvent toujours réussir si le lien enveloppé n’a pas été signalé par le scanner au moment du clic.”
L’activité, observée au cours des deux derniers mois, illustre encore une fois comment les acteurs de la menace trouvent différentes façons de tirer parti des caractéristiques légitimes et des outils de confiance à leur avantage et d’effectuer des actions malveillantes, dans ce cas, de rediriger les victimes vers les pages de phishing Microsoft 365.
Il convient de noter que l’abus de l’enveloppe des liens implique que les attaquants acquièrent un accès non autorisé aux comptes de messagerie qui utilisent déjà la fonctionnalité au sein d’une organisation, afin que tout e-mail contenant une URL malveillante envoyée à partir de ce compte soit automatique[.]com / v2 / url? u = ).
Un autre aspect important concerne ce que CloudFlare appelle «les abus de redirection à plusieurs niveaux», dans lesquels les acteurs de la menace calent d’abord leurs liens malveillants en utilisant un service de raccourcissement URL comme bitly, puis envoient le lien raccourci dans un e-mail via un compte de preuve, ce qui l’a obligé une deuxième fois.
Ce comportement crée efficacement une chaîne de redirection, où l’URL passe par deux niveaux d’obscurcissement – la défense Bitly et Proofpoint de l’URL – avant d’emmener la victime à la page de phishing.
Dans les attaques observées par la société d’infrastructure Web, les messages de phishing se masquent en tant que notifications de messagerie vocale, exhortant les destinataires à cliquer sur un lien pour les écouter, en les dirigeant finalement vers une page de phishing Microsoft 365, conçue pour capturer leurs informations d’identification.
Les chaînes d’infection alternatives utilisent la même technique dans les e-mails qui informent les utilisateurs d’un document supposé reçu dans les équipes Microsoft et de les inciter à cliquer sur des hyperliens piégés.
Une troisième variation de ces attaques imite les équipes dans les e-mails, affirmant qu’ils ont des messages non lus et qu’ils peuvent cliquer sur le bouton “Répondre dans les équipes” intégrés dans les messages pour les rediriger vers des pages de récolte d’identification.
“En parcourant des destinations malveillantes avec une urldefense légitime[.]point de preuve[.]com et URL[.]Les URL par courrielprotection, l’abus de ces campagnes de phishing des services de liaison de confiance augmente considérablement la probabilité d’une attaque réussie “, a déclaré Cloudflare.
Le développement intervient au milieu d’un pic des attaques de phishing qui armement les fichiers de graphiques vectoriels évolutifs (SVG) pour contourner les protections traditionnelles anti-spam et antiphishing et initier des infections de logiciels malveillants en plusieurs étapes.
“Contrairement aux fichiers JPEG ou PNG, les fichiers SVG sont écrits en XML et prennent en charge le code JavaScript et HTML”, a déclaré le mois dernier le New Jersey Cybersecurity and Communications Integration Cell (NJCCIC). “Ils peuvent contenir des scripts, des hyperliens et des éléments interactifs, qui peuvent être exploités en intégrant du code malveillant dans des fichiers SVG inoffensifs.”
Des campagnes de phishing ont également été observées en intégrant de faux liens de vidéoconférence dans des e-mails qui, lorsqu’ils ont cliqué, déclenchent une chaîne de redirection vers une fausse page qui imite une interface réaliste, après quoi ils sont servis un message “de connexion de réunion” et apportée à une page de phishing qui les incite à entrer leurs informations d’identification pour rejoindre la réunion.
“Malheureusement, au lieu de« rejoindre », les références de la victime ainsi que leur adresse IP, leur pays et leur région sont exfiltrées via Telegram, une application de messagerie notoire pour les« communications sécurisées et cryptées »et inévitablement envoyée à l’acteur de menace», a déclaré Cofense dans un récent rapport.
