En son kimlik bilimi kampanyaları dalgası, tehdit aktörleri için beklenmedik bir şekilde uygun bir müttefik ortaya çıkardı: kullanıcıları korumak için e-posta güvenlik süitleri.
İlk olarak Temmuz 2025’in sonlarında gözlemlenen birden fazla kimlik avı kümesi, Proofpoint’in meşru bağlantı sarma hizmetlerine kötü amaçlı URL’leri yerleştirmeye başladı. Korumak platform (https://urldefense.proofpoint.com/v2/url?u=) ve Intermedia’nın LinkSafe (https://safe.intermedia.net/?u=).
Kurumsal filtreler bu alanlara zaten güvendiğinden, sarılmış bağlantılar, doğrudan kullanıcıların gelen kutularına inerek, posta ağ geçitlerini aşındırır.
Saldırı zinciri aldatıcı bir şekilde basit. Mağdurlara faturalar, docusign istekleri veya harekete geçirici çağrı düğmeleri sarılmış bir URL’ye işaret eden nakliye bildirimleri alır.
Tıklandığında, Proofpoint veya Intermedia önce kod çözer ve daha sonra tarayıcıyı Microsoft 365 veya OKTA tek işaretli sayfaları taklit eden saldırgan kontrollü bir siteye sessizce iletir.
Cloudflare araştırmacıları, ara “güvenilir” hop nötrinin çoğu sanalbox patlamasını nötr olarak belirtti, çünkü nihai hedef sadece kullanıcı oturumunda çözüldü, etkili bir şekilde kısa devre sezgisel URL itibar denetimleri.
Açık yönlendirme sensörleri tarafından toplanan kampanya telemetrisi, 1 Ağustos’tan bu yana finansal hizmetleri, yasal firmaları ve yüksek öğrenimi hedefleyen 180.000’den fazla mesaj göstermektedir.
.webp)
Birkaç olayda, tehlikeyi daha da ilerletmek için uzatılmış posta kutuları birkaç dakika içinde silahlandırıldı ve meşru cevaplar olarak maskelenirken dahili yayılmayı güçlendirdi.
.webp)
Kötüye kullanım, güvenlik kontrollerinin-yeterince kapsamlı bir şekilde kapsamadığı zaman-rakipler için yüksek doğruluklu pelerinlerin altını çiziyor.
Fırsatçı URL yeniden yazma yoluyla tespit kaçınma
Taze kayıtlı yazım hatalarına dayanan geleneksel kimlik avının aksine, bu kampanyalar koşullu URL çözünürlüğünü kullanır.
Proofpoint’in sargısı, hedefi baz 64 kodlu bir şekilde saklar u= parametre, bir HMAC imzası k= bütünlüğü garanti eder.
Güvenlik ürünleri, bağlantıyı güvenli olarak sınıflandırmadan önce genellikle sadece HMAC’yi doğrular; yaparlar Olumsuz Tarama sırasında yükü koruyucu, çünkü bunu yapmak ambalajın anti ayarlayıcı contasını yok edecektir.
.webp)
Saldırganlar sadece prova noktasının iyi huylu bir sitede sargıyı oluşturmasına izin vererek geçerli bir bağlantı oluşturur, ardından Base64 yükünü imzayı güncellemeden düzenler – geçirmez nokta hala URL’yi yükler, ancak özgünlüğü garanti edemez ve sessiz bir ileri neden olur.
Aşağıdaki Python Fragment, kurcalama adımını tekrarlar ve statik tarayıcıların neden kaçırdığını vurgular:-
import base64, urllib.parse, re
wrapped = ("https://urldefense.proofpoint.com/v2/url?"
"u=aHR0cHM6Ly93d3cuZXhhbXBsZS5jb20vP3Byb2Quaj0x&k=abcd1234")
payload = re.search(r"u=([^&]+)", wrapped).group(1)
decoded = base64.urlsafe_b64decode(payload + "==").decode()
print('Original target:', decoded)
new_target = "https://malicious-domain.net/login.php"
new_payload = base64.urlsafe_b64encode(new_target.encode()).decode().rstrip("=")
tampered = re.sub(r"u=[^&]+", f"u={urllib.parse.quote(new_payload)}", wrapped)
print('Tampered wrapper:', tampered)Çünkü k= İmza asla yeniden hesaplanmaz, Proofpoint bağlantıyı “değiştirilmiş” olarak işaretler, ancak yine de ileriye doğru gerçekleştirir-kullanılabilirlik imtiyaz saldırganları artık sömürülür.
Intermedia’nın LinkSafe, herhangi bir bütünlük belirtecinden yoksun olan benzer bir zayıflık gösterir.
Prova Noktası ve Intermedia, doğrulama mantığını engellemek için revize edene veya en azından imza uyumsuzluklarına uyacak şekilde uyarıncaya kadar, savunucular tam URL patlamasına ve uç noktalı sezgisel yöntemlere güvenmelidir.
Ağ ekiplerine güvenli kapı yolunda sarılmış bağlantıları soymaları veya yeniden yazmaları tavsiye edilirken, SOCS içindeki Base64 dizeleri için avlanmalıdır u= harici alanlara göre kod çözen parametreler.
Özünde, bölüm uyarıcı bir masaldır: tecritte başarılı olan güvenlik katmanları, bütünsel tehdit modellemesi olmadan birlikte zincirlendiğinde, doğrudan saldırganın yüküne sürtünmeyen bir otoyol açabilir.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin