安全专家发现利用多层跳转技术窃取Microsoft 365登录凭证的新型钓鱼攻击

网络安全研究人员近日披露了一种新型钓鱼攻击活动的细节，攻击者通过滥用Proofpoint和Intermedia的链接封装服务来隐藏恶意负载，从而绕过防御系统。

链接封装服务的滥用机制

Cloudflare电子邮件安全团队指出："Proofpoint等厂商设计的链接封装服务旨在通过将所有点击的URL路由至扫描服务来保护用户，使其能够在点击时拦截已知的恶意目标。虽然这对已知威胁有效，但如果封装链接在点击时未被扫描器标记，攻击仍可能成功。"

过去两个月观察到的攻击活动再次表明，威胁行为者如何利用合法功能和可信工具来实施恶意行为——在本案例中，就是将受害者重定向至Microsoft 365钓鱼页面。值得注意的是，这种链接封装服务的滥用需要攻击者先未经授权访问组织内已启用该功能的电子邮件账户，这样从该账户发送的任何包含恶意URL的邮件都会自动被重写为封装链接（例如urldefense.proofpoint[.]com/v2/url?u=<恶意网站>）。

多层跳转技术剖析

另一个关键点是Cloudflare所称的"多层跳转滥用"：攻击者首先使用Bitly等URL缩短服务隐藏恶意链接，然后通过受Proofpoint保护的账户在电子邮件中发送缩短后的链接，使其被二次隐藏。这种行为实际上创建了一个重定向链，URL在将受害者导向钓鱼页面前会经过Bitly和Proofpoint URL Defense两重混淆。

多样化攻击手法

在这家网络基础设施公司观察到的攻击中，钓鱼邮件伪装成语音邮件通知，诱使收件人点击链接收听，最终将其导向伪造的Microsoft 365钓鱼页面以窃取凭证。其他感染链变种采用相同技术，在邮件中通知用户Microsoft Teams收到文档，诱骗他们点击陷阱超链接。第三种变体则冒充Teams邮件，声称有未读消息，点击邮件中的"在Teams中回复"按钮会将用户重定向至凭证收集页面。

Cloudflare表示："通过使用合法的urldefense[.]proofpoint[.]com和url[.]emailprotection URL隐藏恶意目标，这些钓鱼活动对可信链接封装服务的滥用显著提高了攻击成功率。"

SVG文件成为新型攻击载体

这一发展正值钓鱼攻击激增之际，攻击者利用可缩放矢量图形(SVG)文件绕过传统反垃圾邮件和反钓鱼防护，发起多阶段恶意软件感染。新泽西州网络安全与通信集成单元(NJCCIC)上月指出："与JPEG或PNG文件不同，SVG文件采用XML编写，支持JavaScript和HTML代码。它们可以包含脚本、超链接和交互元素，攻击者可通过在无害的SVG文件中嵌入恶意代码加以利用。"

伪造Zoom会议的新型钓鱼

研究人员还观察到钓鱼活动在邮件中嵌入伪造的Zoom视频会议链接，点击后会触发重定向链，先跳转至模仿真实界面的虚假页面，随后显示"会议连接超时"消息，最终导向要求输入凭证以重新加入会议的钓鱼页面。Cofense在近期报告中指出："不幸的是，受害者并非'重新加入'，其凭证连同IP地址、国家和地区信息会通过以'安全加密通信'著称的Telegram消息应用外泄，最终必然落入威胁行为者手中。"