Aanvallers misbruiken linkwrapping van Proofpoint en Intermedia om phishing-payloads te verspreiden

De afgelopen maanden heeft het Cloudflare Email Security-team een reeks cybercriminele activiteiten gevolgd. Hierbij werd gebruikgemaakt van Proofpoint- en Intermedia-linkwrapping om phishing-payloads te verbergen. Zowel om het vertrouwen van mensen te winnen als detectie te vertragen om verdedigingsmechanismen te omzeilen. Lees hier hoe de hackers te werk zijn gegaan.

Linkwrapping

Linkwrapping is ontworpen door leveranciers zoals Proofpoint om gebruikers te beschermen door alle aangeklikte URL's door een scanservice te leiden. Met als doel bekende kwaadaardige sites bij klikken al te blokkeren. Zo kan bijvoorbeeld een emaillink naar http://malicioussite[.]com veranderen in https://urldefense[.]proofpoint[.]com/v2/url?u=httpp-3A__malicioussite[.]com. Hoewel dit effectief is tegen bekende bedreigingen, kunnen aanvallen nog steeds succesvol zijn als de ingepakte link op het moment van klikken niet door de scanner wordt gedetecteerd.

Recente campagnes die door het Cloudflare Email Security-team zijn geobserveerd, laten zien hoe aanvallers de linkwrapping-functies van Proofpoint en Intermedia misbruiken om detectie te omzeilen en slachtoffers door te sturen naar diverse phishingpagina's van Microsoft Office 365. Deze techniek is bijzonder gevaarlijk, omdat slachtoffers veel eerder op een 'vertrouwde' Proofpoint- of Intermedia-URL klikken dan op een niet-verpakte phishinglink.

Proofpoint voorbeeld

Misbruik van Proofpoint-linkwrapping draait om het verkrijgen van ongeautoriseerde toegang tot Proofpoint-beveiligde e-mailaccounts (dus accounts die al gebruikmaken van Proofpoint-URL-wrapping). De aanvaller gebruikt deze accounts waarschijnlijk om kwaadaardige URL's 'wit te wassen' via Proofpoints linkwrapping en de nieuw gelegitimeerde links te verspreiden in phishingcampagnes – hetzij rechtstreeks vanuit het Proofpoint-beveiligde account, hetzij via een ander gehackt account of een door de actor beheerd account.

Aanvallers misbruikten de linkwrapping van Proofpoint op verschillende manieren, waaronder misbruik van multi-tiered redirects met URL-verkorters via gecompromitteerde accounts. Met deze specifieke techniek vergroten aanvallers de verduistering door eerst hun kwaadaardige link in te korten met een openbare URL-verkorter zoals Bitly. Nadat de verkorte link via een door Proofpoint beschermd account is verzonden, verpakt Proofpoint de link, waardoor een redirect-keten ontstaat, waarbij elke schakel in de keten een extra laag verduistering toevoegt: URL-verkorter → Proofpoint-wrapping → phishing landingspagina .

Hieronder een voorbeeld van een phishingbericht dat gebruikmaakt van deze techniek. De e-mail verschijnt als een voicemailmelding, waarbij de ontvanger wordt gevraagd op de hyperlinkknop te klikken:

Phishing-e-mail die zich voordoet als voicemailmelding en een ingepakte link bevat. De hyperlink achter de knop ‘Luister naar voicemail’ verwijst naar een verkorte URL:

https://s7991[.]mjt[.]lu/lnk/AVsAAHFeEYgAAc442HAAA_j6qL0AAYKJwxkAoQJeADAzvgBoXEngBR928bCaSBqJwy2W7VW5yAAsGhY/1/3wIgjH7WJCaWg14ggb mciA/aHR0cHM6Ly91cmxkZWZlbnNlLnByb29mcG9pbnQuY29tL3YyL3VybD91PWh0dHBzLTNBX19nb2pvLmxjaS0yRG5kLmNvbSZkPUR3TUNhUSZjPWV1R1pzdGNhVERs bHZpbUVOOGI3alhyd3FPZi12NUFfQ2RwZ25WZmlpTU0mcj1KSFBkSDJlWWhKajhrSlBDc2FGSjBjZXg5dG5GRF9tQTFHUlQ0V0dQYVhVJm09VkRod2NCUHZfNENXcnBEQU1oT1pudk5qX0ZkbER0S3BqR2NOaklTZXVjeEVTVk10cktjVWp5ZkgyTlJxSnZ4OCZzPWxmSU01NnpNU3BLT3V0YVBnNVVnMDIyVnZ6c3BQYmZYTWtDMFNrb3dTbjQmZT0

Deze URL leidt naar een ingepakte Proofpoint-link, die op zijn beurt resulteert in een reeks omleidingen naar een phishingpagina van Microsoft Office 365 die is ontworpen om inloggegevens te verkrijgen:

Een andere veelvoorkomende campagne die gebruikmaakt van deze techniek, maakt gebruik van een nep gedeeld Microsoft Teams-document:

https://s7ku6[.]lu/lnk/AVoAAHBNPHAAAc6tFoQAA-YEUe0AAYKJ…

Deze URL leidt naar een ingepakte Proofpoint-link:

https://urldefense[.]proofpoint[.]com/v2/url?u=http-3A_scra..

Wat op zijn beurt resulteert in een reeks omleidingen naar de uiteindelijke phishing-landingspagina:

https://scratchpaperjournal[.]com

Hoewel de ingepakte koppelingen in dit specifieke geval zijn uitgeschakeld en de payload-koppelingen niet langer beschikbaar zijn, vermoedt het Cloudflare Email Security-team, gezien de overeenkomsten in de voorbeelden en het consistente gebruik van Microsoft-imitatie, sterk dat de payload waarschijnlijk naar Microsoft-phishingpagina's is doorgestuurd, zoals te zien is in het oorspronkelijke voorbeeld.

Intermedia voorbeeld

Het misbruik van Intermedia-linkwrapping dat we observeerden, richtte zich ook op het verkrijgen van ongeautoriseerde toegang tot e-mailaccounts die beschermd werden door linkwrapping. Hieronder volgt een voorbeeld van een phishingbericht waarin de aanvaller een e-mailaccount binnen een door Intermedia beschermde organisatie hackte en dit gebruikte om phishingmails met schadelijke links te versturen. Omdat de e-mails vanuit de organisatie werden verzonden, herschreef Intermedia automatisch de links terwijl ze door de infrastructuur van het bedrijf gingen.

De e-mail pretendeert een 'Zix' Secure Message-melding te zijn met een 'Beveiligd document bekijken'-lokmiddel:

Phishing-e-mail met ingepakte link verzonden via gecompromitteerd account

De hyperlink in de knop 'Beveiligd document bekijken' is een door Intermedia omhulde URL:

https://url[.]emailprotection[.]link/?b3lqgzpZDq61f7F3b5CODwahIJAeptv1BDAZiNNh26wyAEn43xWiHDrrg2E5N--NCdodywY1rhlAlRwALj8ntrFVEbcisVA_9ZUcqv7MDIMw_ywzT6GDIa4sRm7dyv8ZyieCzKUdnNS0NYd2OhaaxLYKHwGwkghamXI9QU-wSUZ_WYPq06Q4wyW1X4o2i_dHuyCFMwwCvzps30SiitBbyRWR- __tRS4KGrApVQ8x8ES1JNp06JAkTEBm5YsP6AkKuwtrT-YPCXRBNMf7eOWrxQHBzfrMP1rxEA4GnhzyZWiPvBaxsagOHjLUyyCk3p89eciquFHFIZc-eXHB3vY2cKyCfj8K2sDK_JIDNEQMMHJYrN61RjWh5r_20l0_kKdTAS8DDVO46tcOIqlrIsNhpfTEFIieChldQlQ8xrl9mH6lx2NUK2C2fJ6UL3Jg61hW6PV4MVzWsteIXgB1322yRFQ~~

De URL url[.]emailprotection[.]link verwijst vervolgens door naar een Constant Contact-pagina, waar de daadwerkelijke phishingpagina in scène is gezet:

Constant Contact-omleiding van url[.]emailprotection[.]link

Een andere veelvoorkomende campagne die gebruikmaakt van deze techniek, maakt gebruik van een nep gedeeld Word-document:

Een phishing-e-mail met een link naar een vals gedeeld Word-document

De hyperlink in de knop 'Ga naar bestand' is opnieuw een door Intermedia omhulde URL:

https://url[.]emailprotection[.]link/?bWAGY3CVTOdXyKVyobe9gnItJOEJbm1tY2HTkP9NpEnkIf26F00zxMsb9S6ZkoTubTBb8VAKEW8Xzl3H78zXbLUsx6G1-SLbGVekrCZe8ixy5rk7O3KF7s-l7K_qIAAgHPcF6tTEW65MVGDvSqMhxQKLuSkOMktCIaifpyyFNqrfq2SJQ2xYDeXI0zGUBPdYV8EpnEqSz3jxvefaMUh2FPZ54bxAa1H79K2-v_JH5ebOzqRN6OXD06HjrjOZCg59G

Deze link verwijst door naar een phishingpagina van Microsoft die is ontworpen om inloggegevens te verzamelen:

Een phishingpagina van Microsoft die is ontworpen om inloggegevens te verzamelen

Een andere slimme toepassing van deze techniek was het imiteren van Microsoft Teams:

Een phishing-e-mail met een link naar een nep Teams-bericht

De hyperlink in de knop 'Reageren in Teams' is de volgende ingepakte link:

https://url[.]emailprotection[.]link/?bWAGY3CVTOdXyKVyobe9gnItJOEJbm1tY2HTkP9NpEnkIf26F00zxMsb9S6ZkoTubTBb8VAKEW8Xzl3H78zXbLUsx6G1-SLbGVekrCZe8ixy5rk7O3KF7s-l7K_qIAAgHPcF6tTEW65MVGDvSqMhxQKLuSkOMktCIaifpyyFNqrfq2SJQ2xYDeXI0zGUBPdYV8EpnEqSz3jxvefaMUh2FPZ54bxAa1H79K2-v_JH5ebOzqRN6OXD06HjrjOZCg59G

Ook deze link verwijst u door naar een phishingpagina van Microsoft die is ontworpen om inloggegevens te verzamelen:

Een phishingpagina van Microsoft die is ontworpen om inloggegevens te verzamelen

Invloeden

Door kwaadaardige bestemmingen te camoufleren met legitieme URL's zoals urldefense[.]proofpoint[.]com en url[.]emailprotection, vergroot het misbruik van vertrouwde linkwrapping-services door deze campagne de kans op een succesvolle aanval aanzienlijk. Aanvallers misbruiken het inherente vertrouwen dat gebruikers in deze beveiligingstools stellen, wat kan leiden tot hogere klikfrequenties en een grotere kans op gevolgen zoals:

• Financieel verlies: Door frauduleuze links legitiem te laten lijken, verlagen aanvallers het wantrouwen van gebruikers op het kritieke moment van de klik, waardoor de kans op direct financieel verlies groter wordt. In 2024 was e-mail de contactmethode voor 25% van de fraudemeldingen. Hiervan resulteerde 11% in financieel verlies, wat neerkomt op een totaal verlies van $ 502 miljoen en een mediaan verlies van $ 600 per incident.
• Aantasting persoonlijke accounts leidt tot identiteitsdiefstal: linkwrapping kan een betrouwbare methode zijn om persoonlijke gegevens te verzamelen. Phishingcampagnes zijn een belangrijke methode voor aanvallers om persoonlijke informatie te verkrijgen en droegen in 2024 bij aan 1,1 miljoen meldingen van identiteitsdiefstal, waarbij creditcardfraude en fraude met overheidsuitkeringen de belangrijkste categorieën zijn.
• Aanzienlijke tijdsdruk voor slachtoffers: Slachtoffers van identiteitsfraude, vaak via phishing, kampen met een aanzienlijke tijdsdruk. De gemiddelde afhandeling van belastinggerelateerde zaken duurt in begrotingsjaar 2024 meer dan 22 maanden (676 dagen).
• Phishing als meest voorkomende methode om inbreuken te plegen: onderzoek van Comcast toont aan dat 67% van alle inbreuken begint met het klikken op een ogenschijnlijk veilige link.
• Diefstal van inloggegevens via phishing: de piek van 300% in het aantal gevallen van diefstal van inloggegevens die Picus Security in 2024 heeft waargenomen, kan worden aangewakkerd door effectievere phishingtechnieken, zoals linkwrapping.

Mitigatie en detectie

Omdat deze campagne misbruik maakt van de vertrouwde domeinen van beveiligingsproviders, is conventionele reputatiegebaseerde URL-filtering niet effectief. De volgende detecties zijn geschreven door Cloudflare Email Security om te beschermen tegen phishingcampagnes die gebruikmaken van de beschreven linkwrapping-technieken. Ze maken gebruik van diverse signalen op basis van historische campagnegegevens en bevatten machine learning-modellen die zijn getraind op berichten met linkwrapping-URL's.

• SentimentCM.HR.Self_Send.Link_Wrapper.URL
• SentimentCM.Voicemail.Onderwerp.URL_Wrapper.Bijlage

Indicatoren van compromis

Kwaadaardige URL's

https://ddms03smf0d0dqeqmm[.]z21[.]web[.]core[.]windows[.]net/

https://urldefense[.]proofpoint[.]com/v2/url?u=https-3A__gojo[.]lci-2Dnd[.]com&d=DwMCaQ&c=euGZstcaTDllvimEN8b7jXrwqOf-v5A_CdpgnVfiiMM&r=JHPdH2eYhJj 8kJPCsaFJ0cex9tnFD_mA1GRT4WGPaXU&m=VDhwcBPv_4CWrpDAMhOZnvNj_FdlDtKpjGcNjIS eucxESVMtrKcUjyfH2NRqJvx8&s=lfIM56zMSpKOutaPg5Ug022VvzspPbfXMkC0SkowSn4&e=

https://url[.]emailprotection[.]link/?bxjbUYmuj6LZ8gva4U4EvSoPow5PY2-dEop13podg0U_Ts3FSoC5MBvCPBU7NO92zUu6Pb7cdp5unw1W5ZWPTA4gHQPYQd24oFvE57mLiv3eV3xTuMCvxzmUiWPZry7I9-MmjCMloz-I_mdEvkkJ8ZEAa miaFw7kmIQoiTsApuLbeLFDiF4cR_dnaRZOP655E-QuVaJhm1_K2RuK_jwP4Cq9WtSUBdgXM_swewimayYMhRMC33IE05SfXI0SBTz_eydAXkzgG2GXDLPb1qvf-YcSmpbelhKJi4mv1ADdik3DCE3X9F9MARwi2xp7AIsTr466lEdaYzz5RzeJaDrya9A~~ 

https://s7991[.]mjt[.]lu/lnk/VsAAHFeEYgAAc442HAAA_j6qL0AAYKJwxkAoQJeADAzvgBoXEngBR928bCaSBqJwy2W7VW5yAAsGhY/1/3wIgjH7WJCaWg14ggb mciA/aHR0cHM6Ly91cmxkZWZlbnNlLnByb29mcG9pbnQuY29tL3YyL3VybD91PWh0dHBzLTNBX19nb2pvLmxjaS0yRG5kLmNvbSZkPUR3TUNhUSZjPWV1R1pzdGNhVERs bHZpbUVOOGI3alhyd3FPZi12NUFfQ2RwZ25WZmlpTU0mcj1KSFBkSDJlWWhKajhrSlBDc2FGSjBjZXg5dG5GRF9tQTFHUlQ0V0dQYVhVJm09VkRod2NCUHZfNENXcnBEQU1oT1pudk5qX0ZkbER0S3BqR2NOaklTZXVjeEVTVk10cktjVWp5ZkgyTlJxSnZ4OCZzPWxmSU01NnpNU3BLT3V0YVBnNVVnMDIyVnZ6c3BQYmZYTWtDMFNrb3dTbjQmZT0

https://Gojo[.]lci-nd[.]com

https://7sovxyhbb.cc.rs6.net/error.jsp?e=7sovxyhbb https://ddms03smf0d0dqeqmm[.]z21[.]web.core[.]windows[.]net 

https://url[.]emailprotection[.]link/?bWAGY3CVTOdXyKVyobe9gnItJOEJbm1tY2HTkP9NpEnkIf26F00zxMsb9S6ZkoTubTBb8VAKEW8Xzl3H78zXbLUsx6G1-SLbGVekrCZe8ixy5rk7O3KF7s-l7K_qIAAgHPcF6tTEW65MVGDvSqMhxQKLuSkOMktCIaifpyyFNqrfq2SJQ2xYDeXI0zGUBPdYV8EpnEqSz3jxvefaMUh2FPZ54bxAa1H79K2-v_JH5ebOzqRN6OXD06HjrjOZCg59G

https://url[.]emailprotection[.]link/?b3lqgzpZDq61f7F3b5CODwahIJAeptv1BDAZiNNh26wyAEn43xWiHDrrg2E5N--NCdodywY1rhlAlRwALj8ntrFVEbcisVA_9ZUcqv7MDIMw_ywzT6GDIa4sRm7dyv8ZyieCzKUdnNS0NYd2OhaaxLYKHwGwkghamXI9QU-wSUZ_WYPq06Q4wyW1X4o2i_dHuyCFMwwCvzps30SiitBbyRWR- __tRS4KGrApVQ8x8ES1JNp06JAkTEBm5YsP6AkKuwtrT-YPCXRBNMf7eOWrxQHBzfrMP1rxEA4GnhzyZWiPvBaxsagOHjLUyyCk3p89eciquFHFIZc-eXHB3vY2cKyCfj8K2sDK_JIDNEQMMHJYrN61RjWh5r_20l0_kKdTAS8DDVO46tcOIqlrIsNhpfTEFIieChldQlQ8xrl9mH6lx2NUK2C2fJ6UL3Jg61hW6PV4MVzWsteIXgB1322yRFQ~~

E-maildetectievingerafdrukken (EDF)

Vingerafdrukken

0a454b5ae642aa6131c9f6734590e205cb84:258ecaee8d3b24963cce163874a3