網絡安全研究人員近日披露了一種新型釣魚攻擊活動的細節，攻擊者通過濫用Proofpoint和Intermedia的鏈接封裝服務來隱藏惡意負載，從而繞過防御系統。

鏈接封裝服務的濫用機制

Cloudflare電子郵件安全團隊指出："Proofpoint等廠商設計的鏈接封裝服務旨在通過將所有點擊的URL路由至掃描服務來保護用戶，使其能夠在點擊時攔截已知的惡意目標。雖然這對已知威脅有效，但如果封裝鏈接在點擊時未被掃描器標記，攻擊仍可能成功。"

過去兩個月觀察到的攻擊活動再次表明，威脅行為者如何利用合法功能和可信工具來實施惡意行為——在本案例中，就是將受害者重定向至Microsoft 365釣魚頁面。值得注意的是，這種鏈接封裝服務的濫用需要攻擊者先未經授權訪問組織內已啟用該功能的電子郵件賬戶，這樣從該賬戶發送的任何包含惡意URL的郵件都會自動被重寫為封裝鏈接（例如urldefense.proofpoint[.]com/v2/url?u=<惡意網站>）。

多層跳轉技術剖析

另一個關鍵點是Cloudflare所稱的"多層跳轉濫用"：攻擊者首先使用Bitly等URL縮短服務隱藏惡意鏈接，然后通過受Proofpoint保護的賬戶在電子郵件中發送縮短后的鏈接，使其被二次隱藏。這種行為實際上創建了一個重定向鏈，URL在將受害者導向釣魚頁面前會經過Bitly和Proofpoint URL Defense兩重混淆。

多樣化攻擊手法

在這家網絡基礎設施公司觀察到的攻擊中，釣魚郵件偽裝成語音郵件通知，誘使收件人點擊鏈接收聽，最終將其導向偽造的Microsoft 365釣魚頁面以竊取憑證。其他感染鏈變種采用相同技術，在郵件中通知用戶Microsoft Teams收到文檔，誘騙他們點擊陷阱超鏈接。第三種變體則冒充Teams郵件，聲稱有未讀消息，點擊郵件中的"在Teams中回復"按鈕會將用戶重定向至憑證收集頁面。

Cloudflare表示："通過使用合法的urldefense[.]proofpoint[.]com和url[.]emailprotection URL隱藏惡意目標，這些釣魚活動對可信鏈接封裝服務的濫用顯著提高了攻擊成功率。"

SVG文件成為新型攻擊載體

這一發展正值釣魚攻擊激增之際，攻擊者利用可縮放矢量圖形(SVG)文件繞過傳統反垃圾郵件和反釣魚防護，發起多階段惡意軟件感染。新澤西州網絡安全與通信集成單元(NJCCIC)上月指出："與JPEG或PNG文件不同，SVG文件采用XML編寫，支持JavaScript和HTML代碼。它們可以包含腳本、超鏈接和交互元素，攻擊者可通過在無害的SVG文件中嵌入惡意代碼加以利用。"

偽造Zoom會議的新型釣魚

研究人員還觀察到釣魚活動在郵件中嵌入偽造的Zoom視頻會議鏈接，點擊后會觸發重定向鏈，先跳轉至模仿真實界面的虛假頁面，隨后顯示"會議連接超時"消息，最終導向要求輸入憑證以重新加入會議的釣魚頁面。Cofense在近期報告中指出："不幸的是，受害者并非'重新加入'，其憑證連同IP地址、國家和地區信息會通過以'安全加密通信'著稱的Telegram消息應用外泄，最終必然落入威脅行為者手中。"