حملات فیشینگ با بهرهگیری از Link-Wrapping کاربران Microsoft 365 را هدف قرار میدهند
سوءاستفاده مهاجمان از Link-Wrapping در سرویسهای معتبر برای سرقت اطلاعات ورود به Microsoft 365
یک عامل تهدید با سوءاستفاده از سرویسهای Link-Wrapping ارائهشده توسط شرکتهای معتبر فناوری، اقدام به پنهانسازی لینکهای مخرب کرده و کاربران را به صفحات فیشینگ Microsoft 365 هدایت کرده که برای سرقت اطلاعات لاگین طراحی شدهاند.
این مهاجم در بازه زمانی ژوئن تا ژوئیه، با بهرهبرداری از ویژگی امنیتی URL شرکت امنیت سایبری Proofpoint و شرکت ارتباطات ابری Intermedia، حملات فیشینگ خود را اجرا کرده است.
برخی سرویسهای امنیت ایمیل، از ویژگی Link-Wrapping برای بازنویسی URLهای موجود در پیامها استفاده میکنند تا آنها را به دامنهای معتبر ارجاع داده و از طریق سرورهای اسکن، مقاصد مخرب را مسدود کنند.
تیم امنیت ایمیل Cloudflare کشف کرده است که مهاجم پس از نفوذ به حسابهای ایمیل محافظتشده توسط Proofpoint و Intermedia، لینکهای مخرب را بهگونهای بازنویسی کرده که مشروع به نظر برسند، و احتمالاً از همین دسترسی غیرمجاز برای توزیع لینکهای “شستهشده” استفاده کرده است.
پژوهشگران توضیح دادهاند:
«مهاجمان از Link-Wrapping شرکت Proofpoint به اشکال مختلفی سوءاستفاده کردهاند، از جمله استفاده چندمرحلهای از ریدایرکتها و کوتاهکنندههای URL از طریق حسابهای بهخطرافتاده.»
همچنین، در مورد سوءاستفاده از Link-Wrapping شرکت Intermedia آمده است:
«تمرکز حملات بر دستیابی به دسترسی غیرمجاز به حسابهای ایمیل محافظتشده توسط Link-Wrapping بود.»
مهاجم با افزودن لایهای از ابهامسازی (Obfuscation) از طریق کوتاهسازی لینک مخرب در مرحله اول، و ارسال آن از حساب محافظتشده، باعث میشد لینک بهصورت خودکار wrap شود.
پژوهشگران اعلام کردهاند که مهاجم قربانیان را از طریق اعلانهای جعلی مانند پیام صوتی (voicemail) یا فایلهای Microsoft Teams اشتراکگذاریشده فریب میداد. در انتهای زنجیره تغییر مسیر، صفحهای جعلی از Microsoft 365 قرار داشت که اطلاعات ورود کاربران را جمعآوری میکرد.
استفاده از برندهای معتبر در کمپین فیشینگ برای دور زدن سامانههای امنیتی ایمیل
در کمپینی که با سوءاستفاده از سرویس Link-Wrapping شرکت Intermedia اجرا شد، عامل تهدید ایمیلهایی ارسال میکرد که در آنها خود را بهعنوان اعلان پیام امن از “Zix” برای مشاهده یک سند امن، یا بهعنوان اعلان دریافتی جدید از Microsoft Teams معرفی میکرد.
لینک ادعایی که قرار بود کاربر را به سند مذکور هدایت کند، در واقع یک URL Wrapشده توسط سرویس Intermedia بود که به یک صفحه جعلی از پلتفرم بازاریابی ایمیلی Constant Contact ارجاع داده میشد؛ صفحهای که میزبان صفحه فیشینگ بود.
در سناریوی دیگر، کلیک روی گزینه “Reply” در اعلان جعلی Teams کاربر را به یک صفحه فیشینگ Microsoft هدایت میکرد که بهمنظور سرقت اطلاعات ورود طراحی شده بود.
پژوهشگران Cloudflare اعلام کردند که با پنهانسازی مقصدهای مخرب در پشت URLهای امنیتی معتبر، مهاجمان شانس موفقیت حملات خود را بهطرز قابل توجهی افزایش دادهاند.
شایان ذکر است که استفاده از سرویسهای مشروع برای توزیع بارهای مخرب (Malicious Payloads) پدیدهای جدید نیست، اما سوءاستفاده از ویژگی Link-Wrapping بهعنوان یک تکنیک امنیتی، رویکردی نوظهور در حملات فیشینگ به شمار میرود.