В течение последних двух месяцев была зафиксирована новая фишинговая кампания, нацеленная на кражу учетных данных Microsoft 365. Ключевая тактика злоумышленников заключается в злоупотреблении легитимными сервисами безопасности, такими как Proofpoint и Intermedia, для маскировки вредоносных ссылок. Используя функцию «обертывания ссылок», хакеры заставляют опасные URL-адреса выглядеть безопасными, что позволяет им обходить системы сканирования.
Команда Cloudflare Email Security назвала эту технику «многоуровневым злоупотреблением переадресацией». В основе метода лежит эксплуатация «обертывания ссылок» — стандартной функции безопасности, предназначенной для защиты пользователей. Сервисы, подобные Proofpoint, перенаправляют все URL-адреса в электронных письмах через свой сканер, чтобы заблокировать известные вредоносные сайты. Однако атака достигает цели, если на момент перехода пользователя по ссылке она еще не была внесена в черные списки сканера.
Для реализации атаки злоумышленники получают несанкционированный доступ к учетной записи электронной почты в организации, которая уже использует сервис защиты с функцией обертывания ссылок, например, Proofpoint. Когда вредоносная ссылка отправляется с такого скомпрометированного аккаунта, система безопасности автоматически переписывает URL-адрес, помещая его в оболочку собственного доверенного домена. Пример такой ссылки:
Чтобы усилить маскировку, хакеры применяют двойное сокрытие. Сначала они укорачивают вредоносную ссылку с помощью сервиса вроде Bitly. Затем этот сокращенный URL-адрес отправляется со скомпрометированной учетной записи, защищенной Proofpoint, что приводит к его повторному «обертыванию». В результате создается двухуровневая цепочка переадресации: Bitly → URL Defense от Proofpoint → конечная фишинговая страница. По данным Cloudflare, «маскировка вредоносных ссылок с помощью доверенных доменов, таких как
В качестве приманок используются несколько сценариев. Один из них — рассылка уведомлений о якобы полученном голосовом сообщении, где получателя призывают перейти по ссылке для прослушивания. Другой вариант имитирует уведомление о получении документа в Microsoft Teams, обманом заставляя пользователя нажать на вредоносную гиперссылку. Третий тип писем выдает себя за уведомление от Teams о непрочитанных сообщениях и содержит кнопку «Ответить в Teams», которая ведет на страницу для кражи учетных данных.
В ответ на запрос издания The Hacker News компания Proofpoint подтвердила, что осведомлена о данной технике и считает ее общеотраслевой проблемой. Представители компании заявили, что наблюдали аналогичные методы, используемые для злоупотребления защитными сервисами других поставщиков, в частности Cisco и Sophos.
Для противодействия таким кампаниям Proofpoint использует механизм обнаружения на основе поведенческого искусственного интеллекта. Эта система идентифицирует и отбрасывает сообщения с подобными URL-адресами, а также блокирует конечные вредоносные ссылки в цепочке переадресации. Исследователи угроз из Proofpoint уточнили, что злоумышленники инициируют атаку двумя способами: либо злоупотребляя «открытой переадресацией» для создания ссылки на уже переписанный URL, либо компрометируя учетную запись, которая уже защищена сервисом.
Несмотря на злоупотребление, эта функция безопасности имеет важное преимущество. Как только сервис, подобный Proofpoint, блокирует конечный вредоносный URL-адрес, вся цепочка атаки немедленно деактивируется для каждого получателя в рамках данной кампании, независимо от того, является ли он клиентом этого сервиса.
Эта кампания является частью более широких тенденций в фишинге. В отчете, опубликованном в прошлом месяце Центром интеграции кибербезопасности и коммуникаций Нью-Джерси (NJCCIC), отмечается рост использования файлов SVG (масштабируемая векторная графика) для обхода защитных мер. В отличие от форматов JPEG или PNG, файлы SVG основаны на языке XML и могут содержать активный код, включая JavaScript, HTML и гиперссылки, что делает их инструментом для атак.
Другой тренд, отмеченный компанией Cofense, — это использование поддельных приглашений на встречи в Zoom. Фишинговые письма содержат ссылки, которые перенаправляют жертву на реалистично выглядящую страницу с сообщением «время подключения к встрече истекло». Затем пользователю предлагается повторно ввести свои учетные данные для «возвращения» на конференцию.
После кражи учетные данные вместе с IP-адресом, страной и регионом жертвы передаются злоумышленнику. Для вывода похищенных данных используется мессенджер Telegram, известный своими возможностями шифрования коммуникаций.
Изображение носит иллюстративный характер
Команда Cloudflare Email Security назвала эту технику «многоуровневым злоупотреблением переадресацией». В основе метода лежит эксплуатация «обертывания ссылок» — стандартной функции безопасности, предназначенной для защиты пользователей. Сервисы, подобные Proofpoint, перенаправляют все URL-адреса в электронных письмах через свой сканер, чтобы заблокировать известные вредоносные сайты. Однако атака достигает цели, если на момент перехода пользователя по ссылке она еще не была внесена в черные списки сканера.
Для реализации атаки злоумышленники получают несанкционированный доступ к учетной записи электронной почты в организации, которая уже использует сервис защиты с функцией обертывания ссылок, например, Proofpoint. Когда вредоносная ссылка отправляется с такого скомпрометированного аккаунта, система безопасности автоматически переписывает URL-адрес, помещая его в оболочку собственного доверенного домена. Пример такой ссылки:
urldefense.proofpoint[.]com/v2/url?u=<вредоносный_сайт>. Чтобы усилить маскировку, хакеры применяют двойное сокрытие. Сначала они укорачивают вредоносную ссылку с помощью сервиса вроде Bitly. Затем этот сокращенный URL-адрес отправляется со скомпрометированной учетной записи, защищенной Proofpoint, что приводит к его повторному «обертыванию». В результате создается двухуровневая цепочка переадресации: Bitly → URL Defense от Proofpoint → конечная фишинговая страница. По данным Cloudflare, «маскировка вредоносных ссылок с помощью доверенных доменов, таких как
urldefense[.]proofpoint[.]com и url[.]emailprotection, значительно повышает вероятность успешной атаки». В качестве приманок используются несколько сценариев. Один из них — рассылка уведомлений о якобы полученном голосовом сообщении, где получателя призывают перейти по ссылке для прослушивания. Другой вариант имитирует уведомление о получении документа в Microsoft Teams, обманом заставляя пользователя нажать на вредоносную гиперссылку. Третий тип писем выдает себя за уведомление от Teams о непрочитанных сообщениях и содержит кнопку «Ответить в Teams», которая ведет на страницу для кражи учетных данных.
В ответ на запрос издания The Hacker News компания Proofpoint подтвердила, что осведомлена о данной технике и считает ее общеотраслевой проблемой. Представители компании заявили, что наблюдали аналогичные методы, используемые для злоупотребления защитными сервисами других поставщиков, в частности Cisco и Sophos.
Для противодействия таким кампаниям Proofpoint использует механизм обнаружения на основе поведенческого искусственного интеллекта. Эта система идентифицирует и отбрасывает сообщения с подобными URL-адресами, а также блокирует конечные вредоносные ссылки в цепочке переадресации. Исследователи угроз из Proofpoint уточнили, что злоумышленники инициируют атаку двумя способами: либо злоупотребляя «открытой переадресацией» для создания ссылки на уже переписанный URL, либо компрометируя учетную запись, которая уже защищена сервисом.
Несмотря на злоупотребление, эта функция безопасности имеет важное преимущество. Как только сервис, подобный Proofpoint, блокирует конечный вредоносный URL-адрес, вся цепочка атаки немедленно деактивируется для каждого получателя в рамках данной кампании, независимо от того, является ли он клиентом этого сервиса.
Эта кампания является частью более широких тенденций в фишинге. В отчете, опубликованном в прошлом месяце Центром интеграции кибербезопасности и коммуникаций Нью-Джерси (NJCCIC), отмечается рост использования файлов SVG (масштабируемая векторная графика) для обхода защитных мер. В отличие от форматов JPEG или PNG, файлы SVG основаны на языке XML и могут содержать активный код, включая JavaScript, HTML и гиперссылки, что делает их инструментом для атак.
Другой тренд, отмеченный компанией Cofense, — это использование поддельных приглашений на встречи в Zoom. Фишинговые письма содержат ссылки, которые перенаправляют жертву на реалистично выглядящую страницу с сообщением «время подключения к встрече истекло». Затем пользователю предлагается повторно ввести свои учетные данные для «возвращения» на конференцию.
После кражи учетные данные вместе с IP-адресом, страной и регионом жертвы передаются злоумышленнику. Для вывода похищенных данных используется мессенджер Telegram, известный своими возможностями шифрования коммуникаций.
