كشف باحثون في مجال الأمن السيبراني عن تفاصيل حملة تصيّد إلكتروني جديدة تعتمد على إخفاء الحمولات الخبيثة من خلال استغلال خدمات “تغليف الروابط” التي تقدمها منصات موثوقة مثل Proofpoint وIntermedia، بهدف تجاوز أنظمة الحماية والوصول إلى بيانات اعتماد Microsoft 365.
وقالت وحدة أمن البريد الإلكتروني في Cloudflare: “تُستخدم تقنية تغليف الروابط من قبل شركات مثل Proofpoint لحماية المستخدمين عبر إعادة توجيه جميع الروابط التي يتم النقر عليها إلى خدمة فحص أمنية، مما يسمح بحظر الوجهات الضارة المعروفة عند لحظة النقر”. وأضافت: “رغم فعاليتها ضد التهديدات المعروفة، إلا أن الهجمات قد تنجح إذا لم يتم تصنيف الرابط المغلف كتهديد وقت النقر”.
التحايل على حسابات البريد الموثوقة
لاحظ الباحثون أن هذه الهجمات تعتمد على الوصول غير المصرح به إلى حسابات بريد إلكتروني داخل المؤسسات التي تستخدم بالفعل تقنية تغليف الروابط، مما يجعل أي رسالة خبيثة تُرسل من تلك الحسابات تُعاد كتابتها تلقائيًا باستخدام رابط مغلف.
إعادة توجيه متعددة الطبقات لتمويه الوجهة الحقيقية
تتمثل الخطوة التالية من هذا التكتيك في ما وصفته Cloudflare بـ”إساءة استخدام إعادة التوجيه متعددة الطبقات”، حيث يقوم المهاجمون بإخفاء الروابط الخبيثة أولًا باستخدام خدمة تقصير الروابط مثل Bitly، ثم يرسلون الرابط المختصر عبر حساب بريد إلكتروني مؤمن بواسطة Proofpoint، مما يؤدي إلى تغليفه مرة أخرى.
بهذا الشكل، تُنشأ سلسلة من إعادة التوجيه تمر عبر مستويين من الإخفاء — Bitly ومن ثم أداة URL Defense الخاصة بـProofpoint — قبل أن تصل الضحية إلى صفحة التصيد المصممة لسرقة بيانات الدخول.
رسائل تصيد متنكرة في إشعارات بريدية
رصدت شركة Cloudflare رسائل تصيد تتظاهر بأنها إشعارات بريد صوتي، تطلب من المتلقي النقر على رابط للاستماع إلى الرسالة، ليُعاد توجيهه لاحقًا إلى صفحة Microsoft 365 وهمية تطلب منه إدخال بيانات الاعتماد.
كما وُثقت سلاسل عدوى بديلة تستخدم التقنية نفسها في رسائل بريد إلكتروني تُبلغ المستخدمين باستلام مستند مزعوم على Microsoft Teams وتحثهم على النقر على روابط خادعة.
وتضمنت نسخة ثالثة من هذه الهجمات رسائل تنتحل صفة Microsoft Teams وتزعم وجود رسائل غير مقروءة، مع زر “الرد عبر Teams” داخل الرسالة، يؤدي بدوره إلى صفحة تصيّد مخصصة لجمع بيانات تسجيل الدخول.
وقالت Cloudflare: “من خلال إخفاء الوجهات الضارة ضمن روابط موثوقة مثل urldefense[.]proofpoint[.]com وurl[.]emailprotection، تزيد هذه الحملات من فرص نجاح الهجوم بشكل كبير”.
استغلال ملفات SVG لتجاوز الحماية التقليدية
تأتي هذه التطورات في ظل تصاعد الهجمات التصيدية التي تستخدم ملفات الرسوميات المتجهة القابلة للتوسع (SVG) كسلاح للتحايل على تقنيات الحماية التقليدية الخاصة بمكافحة البريد العشوائي والتصيّد.
وقالت وحدة الأمن السيبراني في نيوجيرسي (NJCCIC): “على عكس ملفات JPEG أو PNG، فإن ملفات SVG مكتوبة بلغة XML وتدعم JavaScript وHTML، مما يجعلها قادرة على احتواء عناصر تفاعلية وروابط برمجية يمكن استغلالها لإدراج تعليمات خبيثة”.
وقد تم كذلك رصد حملات تصيّد مموهة بروابط مزيفة لمنصة Zoom، تؤدي عند النقر إلى سلسلة من عمليات إعادة التوجيه تنتهي بصفحة تحاكي واجهة اجتماعات Zoom. وبعد عرض رسالة تفيد بأن الاتصال بالاجتماع قد انتهى، يُعاد توجيه الضحية إلى صفحة تصيّد تطلب منه إدخال بيانات اعتماده لإعادة الانضمام إلى الاجتماع.
