Campañas de phishing abusan de Proofpoint y SVG para robar credenciales

Los investigadores en ciberseguridad han identificado una nueva y sofisticada campaña de phishing que utiliza técnicas avanzadas de evasión, abusando de servicios legítimos como Proofpoint URL Defense e Intermedia, con el objetivo de ocultar cargas maliciosas y evadir las soluciones tradicionales de seguridad de correo electrónico.

Este ataque demuestra cómo los actores de amenazas siguen aprovechando características diseñadas para proteger, utilizándolas como herramientas para infiltrar redes corporativas y robar credenciales de Microsoft 365 mediante múltiples capas de redirección y ofuscación.

Abuso del servicio de envoltura de enlaces: un escudo convertido en arma

Los servicios de envoltura de enlaces como los que ofrecen Proofpoint e Intermedia están diseñados para proteger a los usuarios al escanear todas las URLs contenidas en correos electrónicos. En teoría, estos sistemas bloquean enlaces maliciosos en el "momento del clic". Sin embargo, los atacantes han encontrado una forma de eludir esta protección.

Según el equipo de seguridad de correo electrónico de Cloudflare:

Citar"Si bien el envoltorio de enlaces es efectivo contra amenazas conocidas, los ataques aún pueden tener éxito si el enlace malicioso aún no ha sido clasificado como peligroso en el momento en que se hace clic".

Los atacantes están comprometiendo cuentas protegidas por estos servicios para enviar correos con enlaces maliciosos envueltos automáticamente, como:

https://urldefense.proofpoint[.]com/v2/url?u=<sitio_malicioso>

Este enfoque legitima visualmente el enlace, aumentando significativamente la probabilidad de que la víctima lo abra sin sospechas.

Cadena de redirección y doble ofuscación: Bitly + URL Defense

Otro elemento sofisticado en esta campaña es el uso de una redirección de múltiples niveles, lo que crea una cadena de ocultamiento difícil de rastrear. Primero, los atacantes utilizan servicios de acortamiento de URL como Bitly, y luego, envían el enlace a través de una cuenta protegida con Proofpoint, generando una capa adicional de envoltorio.

Esto da como resultado una URL doblemente ofuscada que puede parecer legítima, pero que finalmente redirige a una página falsa de inicio de sesión de Microsoft 365.

Tácticas de phishing: correos de voz, Teams y videollamadas falsas

La campaña se basa en tácticas de ingeniería social altamente efectivas, utilizando contextos familiares para las víctimas:

• Correo de voz falso: Mensajes que informan sobre un supuesto mensaje de voz nuevo y que instan a hacer clic para escucharlo. El enlace lleva a una página de phishing que imita Microsoft 365.
• Notificaciones de Microsoft Teams: Correos que afirman que se ha recibido un documento o mensaje no leído en Teams. Incluyen botones como "Responder en Teams", que redirigen a sitios de robo de credenciales.
• Invitaciones falsas de Zoom: Emails que imitan invitaciones legítimas de Zoom. Al hacer clic, se activa una cadena de redirección que termina en una página falsa con un mensaje como "Se agotó el tiempo de espera de la reunión", seguido de una solicitud para reingresar las credenciales.

Archivos SVG: el nuevo vector para malware evasivo

Además del abuso de servicios de envoltorio de enlaces, los atacantes están utilizando archivos SVG (Scalable Vector Graphics) para evadir filtros antiphishing.

A diferencia de imágenes tradicionales como JPEG o PNG, los archivos SVG están basados en XML y permiten la ejecución de código JavaScript y HTML. Esto los convierte en vehículos ideales para incrustar scripts maliciosos y enlaces activos sin levantar alertas en soluciones de seguridad tradicionales.

El NJCCIC (Célula de Ciberseguridad de Nueva Jersey) advirtió recientemente:

Citar"Los archivos SVG pueden contener hipervínculos y elementos interactivos que se explotan para entregar cargas útiles maliciosas mediante ingeniería social."

Exfiltración de datos vía Telegram

En algunos casos, una vez que la víctima introduce sus credenciales en la página de phishing, esta información —junto con su dirección IP, país y región— es exfiltrada en tiempo real a través de la plataforma de mensajería Telegram, elegida por los atacantes por su cifrado y anonimato.

Este método permite a los ciberdelincuentes recibir datos robados de forma inmediata, evitando controles convencionales y complicando su rastreo.

Según Cofense, empresa especializada en defensa contra phishing:

Citar"En lugar de volver a unirse a la reunión, las credenciales de la víctima son enviadas automáticamente al atacante por medio de Telegram."

cómo protegerse contra estas campañas de phishing avanzadas

Este nuevo tipo de ataques de phishing multietapa representa una evolución alarmante en el uso de herramientas legítimas como Proofpoint e Intermedia con fines maliciosos. Las organizaciones deben:

• Fortalecer sus filtros de seguridad con detección basada en comportamiento
• Implementar soluciones de análisis en tiempo real de redirecciones
• Capacitar a los usuarios sobre tácticas de phishing modernas
• Supervisar URLs acortadas y envoltorios múltiples en correos entrantes

Además, la detección temprana y la visibilidad contextual son clave para reducir el impacto de estas amenazas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login