حملات فیشینگ با بهره‌گیری از Link-Wrapping کاربران Microsoft 365 را هدف قرار می‌دهند

سوءاستفاده مهاجمان از Link-Wrapping در سرویس‌های معتبر برای سرقت اطلاعات ورود به Microsoft 365

یک عامل تهدید با سوءاستفاده از سرویس‌های Link-Wrapping ارائه‌شده توسط شرکت‌های معتبر فناوری، اقدام به پنهان‌سازی لینک‌های مخرب کرده و کاربران را به صفحات فیشینگ Microsoft 365 هدایت کرده که برای سرقت اطلاعات لاگین طراحی شده‌اند.

این مهاجم در بازه زمانی ژوئن تا ژوئیه، با بهره‌برداری از ویژگی امنیتی URL شرکت امنیت سایبری Proofpoint و شرکت ارتباطات ابری Intermedia، حملات فیشینگ خود را اجرا کرده است.

برخی سرویس‌های امنیت ایمیل، از ویژگی Link-Wrapping برای بازنویسی URLهای موجود در پیام‌ها استفاده می‌کنند تا آن‌ها را به دامنه‌ای معتبر ارجاع داده و از طریق سرورهای اسکن، مقاصد مخرب را مسدود کنند.

تیم امنیت ایمیل Cloudflare کشف کرده است که مهاجم پس از نفوذ به حساب‌های ایمیل محافظت‌شده توسط Proofpoint و Intermedia، لینک‌های مخرب را به‌گونه‌ای بازنویسی کرده که مشروع به نظر برسند، و احتمالاً از همین دسترسی غیرمجاز برای توزیع لینک‌های “شسته‌شده” استفاده کرده است.

پژوهشگران توضیح داده‌اند:
«مهاجمان از Link-Wrapping شرکت Proofpoint به اشکال مختلفی سوءاستفاده کرده‌اند، از جمله استفاده چندمرحله‌ای از ریدایرکت‌ها و کوتاه‌کننده‌های URL از طریق حساب‌های به‌خطر‌افتاده.»

همچنین، در مورد سوءاستفاده از Link-Wrapping شرکت Intermedia آمده است:
«تمرکز حملات بر دستیابی به دسترسی غیرمجاز به حساب‌های ایمیل محافظت‌شده توسط Link-Wrapping بود.»

مهاجم با افزودن لایه‌ای از ابهام‌سازی (Obfuscation) از طریق کوتاه‌سازی لینک مخرب در مرحله اول، و ارسال آن از حساب محافظت‌شده، باعث می‌شد لینک به‌صورت خودکار wrap شود.

پژوهشگران اعلام کرده‌اند که مهاجم قربانیان را از طریق اعلان‌های جعلی مانند پیام صوتی (voicemail) یا فایل‌های Microsoft Teams اشتراک‌گذاری‌شده فریب می‌داد. در انتهای زنجیره تغییر مسیر، صفحه‌ای جعلی از Microsoft 365 قرار داشت که اطلاعات ورود کاربران را جمع‌آوری می‌کرد.

استفاده از برندهای معتبر در کمپین فیشینگ برای دور زدن سامانه‌های امنیتی ایمیل

در کمپینی که با سوءاستفاده از سرویس Link-Wrapping شرکت Intermedia اجرا شد، عامل تهدید ایمیل‌هایی ارسال می‌کرد که در آن‌ها خود را به‌عنوان اعلان پیام امن از “Zix” برای مشاهده یک سند امن، یا به‌عنوان اعلان دریافتی جدید از Microsoft Teams معرفی می‌کرد.

لینک ادعایی که قرار بود کاربر را به سند مذکور هدایت کند، در واقع یک URL Wrap‌شده توسط سرویس Intermedia بود که به یک صفحه جعلی از پلتفرم بازاریابی ایمیلی Constant Contact ارجاع داده می‌شد؛ صفحه‌ای که میزبان صفحه فیشینگ بود.

در سناریوی دیگر، کلیک روی گزینه “Reply” در اعلان جعلی Teams کاربر را به یک صفحه فیشینگ Microsoft هدایت می‌کرد که به‌منظور سرقت اطلاعات ورود طراحی شده بود.

پژوهشگران Cloudflare اعلام کردند که با پنهان‌سازی مقصدهای مخرب در پشت URLهای امنیتی معتبر، مهاجمان شانس موفقیت حملات خود را به‌طرز قابل توجهی افزایش داده‌اند.

شایان ذکر است که استفاده از سرویس‌های مشروع برای توزیع بارهای مخرب (Malicious Payloads) پدیده‌ای جدید نیست، اما سوءاستفاده از ویژگی Link-Wrapping به‌عنوان یک تکنیک امنیتی، رویکردی نوظهور در حملات فیشینگ به شمار می‌رود.