一個威脅者一直在濫用科技公司的鏈接包裝服務(wù)來掩蓋惡意鏈接，這些鏈接會導(dǎo)致微軟 365 網(wǎng)絡(luò)釣魚頁面收集登錄憑證。

從 6 月到 7 月，攻擊者利用了網(wǎng)絡(luò)安全公司 Proofpoint 和云通信公司 Intermedia 的 URL 安全功能。一些電子郵件安全服務(wù)包括鏈接包裝功能，該功能將郵件中的 url 重寫為受信任的域，并通過一個掃描服務(wù)器進(jìn)行掃描，以阻止惡意目標(biāo)。

使網(wǎng)絡(luò)釣魚網(wǎng)址合法化

Cloudflare 的電子郵件安全團(tuán)隊發(fā)現(xiàn)，攻擊者在入侵 Proofpoint 和 intermedia 保護(hù)的電子郵件帳戶后，將惡意 url 合法化，并可能利用他們未經(jīng)授權(quán)的訪問來分發(fā) " 清洗 " 的鏈接。

研究人員發(fā)現(xiàn)，攻擊者以各種方式濫用 Proofpoint 鏈接包裝，包括通過受損帳戶使用 URL 縮短器進(jìn)行多層重定向?yàn)E用。

攻擊者添加了一個混淆層，在從受保護(hù)的賬戶發(fā)送惡意鏈接之前，首先縮短惡意鏈接，然后自動包裝鏈接。攻擊者用虛假的語音郵件通知或共享的微軟團(tuán)隊文件來引誘受害者。在重定向鏈的末端是一個收集憑據(jù)的 Microsoft Office 365 釣魚頁面。

利用鏈接包裝功能分發(fā)的微軟 365 釣魚郵件

在濫用 Intermedia 服務(wù)的活動中，威脅者發(fā)送電子郵件，假裝是 "Zix" 安全消息通知，以查看安全文檔，或冒充微軟團(tuán)隊通知新消息。

據(jù)稱指向該文件的鏈接是一個由 Intermedia 服務(wù)包裝的 URL，并被重定向到一個假頁面，該頁面來自數(shù)字和電子郵件營銷平臺 Constant Contact，該平臺托管了該釣魚頁面。點(diǎn)擊虛假 Teams 通知中的回復(fù)按鈕，就會進(jìn)入一個收集登錄憑證的微軟網(wǎng)絡(luò)釣魚頁面。

Cloudflare 的研究人員表示，通過用合法的電子郵件保護(hù) url 來偽裝惡意目的地，威脅者增加了成功攻擊的幾率。需要注意的是，濫用合法服務(wù)來傳遞惡意有效負(fù)載并不是什么新鮮事，但利用鏈接包裝安全特性是網(wǎng)絡(luò)釣魚領(lǐng)域的最新發(fā)展。