Najnoviji val kampanja za krađu podataka putem phishinga otkrio je neočekivano praktičnog saveznika za hakere: upravo one pakete za sigurnost e-pošte namijenjene zaštiti korisnika.
Prvi put uočeno krajem jula 2025. godine, više phishing klastera počelo je ugrađivati maliciozne URL-ove unutar legitimnih servisa za premotavanje linkova Proofpointove Protect platforme ( https://urldefense.proofpoint.com/v2/url?u=) i Intermediaine LinkSafe ( https://safe.intermedia.net/?u=).
Budući da korporativni filteri već vjeruju ovim domenama, omotani linkovi prolaze kroz mail gateway-e bez pregleda, slijećući direktno u inboxe korisnika.
Lanac napada je varljivo jednostavan. Žrtve primaju fakture, DocuSign zahtjeve ili obavještenja o otpremi čija dugmad s pozivom na akciju upućuju na upakovani URL.
Kada se klikne, Proofpoint ili Intermedia prvo dekodira, a zatim tiho prosljeđuje preglednik na stranicu koju kontrolira napadač, a koja imitira Microsoft 365 ili Okta stranice za jednokratnu prijavu.
Istraživači Cloudflare-a su primijetili da među-“pouzdani” hop neutralizuje većinu sandbox detonacija jer se konačno odredište rješava samo unutar korisničke sesije, efektivno skraćujući spoj heurističkih provjera reputacije URL-ova.
Telemetrija kampanje prikupljena senzorima za otvoreno preusmjeravanje pokazuje više od 180.000 poruka od 1. augusta usmjerenih na finansijske usluge, pravne firme i visoko obrazovanje.
.webp)
U nekoliko incidenata, kompromitovani poštanski sandučići su u roku od nekoliko minuta iskorišteni kao oružje za dalje širenje mamaca, pojačavajući interno širenje dok su se maskirali kao legitimni odgovori.
.webp)
Zloupotreba naglašava paradoks u kojem sigurnosne kontrole – kada nisu dovoljno opsežne – postaju visokokvalitetni plašt za protivnike.
Izbjegavanje otkrivanja putem oportunističkog prepisivanja URL-ova
Za razliku od tradicionalnog phishinga koji se oslanja na svježe registrovane domene sa tipografskim greškama, ove kampanje iskorištavaju uslovno razrješavanje URL-ova.
Proofpointov omotač pohranjuje cilj u u=parametru kodiranom u base64 formatu, dok HMAC potpis k=osigurava integritet.
Sigurnosni proizvodi obično provjeravaju samo HMAC prije nego što klasifikuju vezu kao sigurnu; oni ne dereferenciraju korisni teret tokom skeniranja jer bi to uništilo zaštitni pečat omotača.
.webp)
Napadači jednostavno generišu važeći link tako što dopuštaju Proofpointu da kreira omotač na benignoj web stranici, a zatim uređuju base64 korisni teret bez ažuriranja potpisa – Proofpoint i dalje učitava URL, ali ne može garantirati autentičnost, što uzrokuje tiho prosljeđivanje.
Sljedeći Python fragment replicira korak neovlaštenog mijenjanja i ističe zašto ga statički skeneri propuštaju:
import base64, urllib.parse, re
wrapped = ("https://urldefense.proofpoint.com/v2/url?"
"u=aHR0cHM6Ly93d3cuZXhhbXBsZS5jb20vP3Byb2Quaj0x&k=abcd1234")
payload = re.search(r"u=([^&]+)", wrapped).group(1)
decoded = base64.urlsafe_b64decode(payload + "==").decode()
print('Original target:', decoded)
new_target = "https://malicious-domain.net/login.php"
new_payload = base64.urlsafe_b64encode(new_target.encode()).decode().rstrip("=")
tampered = re.sub(r"u=[^&]+", f"u={urllib.parse.quote(new_payload)}", wrapped)
print('Tampered wrapper:', tampered)Budući da k=se potpis nikada ne ponovo izračunava, Proofpoint označava vezu kao “modifikovanu”, ali i dalje izvršava prosljeđivanje – što napadači sada iskorištavaju kao ustupak upotrebljivosti.
Intermedijin LinkSafe pokazuje analognu slabost, jer mu uopće nedostaje token integriteta.
Dok Proofpoint i Intermedia ne revidiraju svoju logiku validacije kako bi blokirali ili barem vidljivo upozorili na neusklađenosti potpisa, branioci se moraju oslanjati na detonaciju punog URL-a i heuristiku na krajnjim tačkama.
Mrežnim timovima se savjetuje da uklone ili prepišu omotane linkove na sloju sigurnog prolaza (Secure-Gateway), dok bi SOC-ovi trebali tražiti base64 stringove unutar u=parametara koji se dekodiraju u vanjske domene.
U svojoj srži, ova epizoda je opominjujuća priča: sigurnosni slojevi koji uspijevaju u izolaciji, mogu, kada se povežu bez holističkog modeliranja prijetnji, otvoriti nesmetan autoput direktno do napadačevog tereta.
Izvor: CyberSecurityNews
