Las herramientas de seguridad del correo electrónico, como Secure Email Gateways (SEG), a menudo codifican URL que están incrustadas en los correos electrónicos. Esto permite que el dispositivo de seguridad escanee la URL ayer de que el destinatario visite el sitio web. A menudo, cuando los SEG detectan URL en correos electrónicos que ya están codificados con SEG, no escanean las URL o el escaneo muestra solo la página de escaneo de la aparejo de seguridad y no el destino positivo. Como resultado, cuando un correo electrónico ya tiene URL codificadas con SEG, el SEG del destinatario a menudo permite que el correo electrónico pase sin repasar adecuadamente las URL incrustadas. Los actores de amenazas han abusado de esto durante algún tiempo, pero en el segundo trimestre de este año, y en mayo en particular, se observó un aumento en los actores de amenazas que aprovechaban la codificación SEG de URL maliciosas ayer de enviarlas a las víctimas.
Herramientas utilizadas en la naturaleza
Las cuatro herramientas más utilizadas por los actores de amenazas para codificar URL y evitar SEG en el segundo trimestre de 2024 son VIPRE Email Security, BitDefender LinkScan, Hornet Security Advanced Threat Protection URL Rewriting y Barracuda Email Gateway Defense Link Protection. Se han gastado campañas de correo electrónico que utilizan estas herramientas para evitar los SEG en entornos protegidos por todo, desde Proofpoint hasta Microsoft ATP.
Seguridad del correo electrónico VIPRE
URL codificadas por VIPRE Email Security, especialmente URL codificadas por url[.]protección de correo electrónico[.]Se vieron enlaces con 12 asuntos únicos a principios de junio de 2024. Estos correos electrónicos tenían asuntos similares al posterior subconjunto:
Asuntos de correo electrónico comunes |
Revisar y firmar: Partnership_Investment_Proposal.DOCX |
Nuevo Acuerdo y Acuerdo de Rescisión.pdf |
Tienes una nueva máquina aparente cifrada de |
Completo: Política de Incremento y Acuerdo En serie de Terminación.pdf. |
Noticia de Compensación Salarial 2024 |
Figura 1: Correo electrónico con URL incrustada codificada por la URL de VIPRE Email Security[.]protección de correo electrónico[.]enlace.
URL codificadas con otras URL codificadas de VIPRE Email Security: url2[.]correo a cualquiera[.]neto, url10[.]correo a cualquiera[.]neto, url12[.]correo a cualquiera[.]net, etc. se vieron principalmente en mayo de 2024 con más de 200 temas únicos. Estos correos electrónicos tenían asuntos similares al posterior subconjunto:
Asuntos de correo electrónico comunes |
7167- |
Solicitud de autenticación única |
Paso a notificación n.° 27: 15 de mayo de 2024, 07:49:27 a. m. |
8533- |
Figura 2: Correo electrónico con URL incrustada codificada por la URL10 de VIPRE Email Security[.]correo a cualquiera[.]neto.
Escaneo de enlaces de BitDefender
URL codificadas por BitDefender LinkScan, especialmente URL codificadas por lsems[.]zona de seriedad[.]bitdefender[.]com se vieron con anciano frecuencia a principios de junio de 2024 con 8 temas únicos. Estos correos electrónicos tenían asuntos similares al posterior subconjunto:
Asuntos de correo electrónico comunes |
Se requiere obra urgente: ¡¡¡Alerta de correo electrónico seguro!!! |
Vaya, ocultamos algunos mensajes suyos Caso del 9 de junio: #UMMQEGA7 |
Notificación de puesta al día de la hoja de horas: vea los cambios Ref-VJ7N8GO012P realizados en su hoja de horas |
Reportar Ticket 0168724 Para |
Figura 3: Correo electrónico con URL incrustada codificada por los lsems de BitDefender LinkScan[.]zona de seriedad[.]bitdefender[.]com.
URL codificadas con la otra URL codificada de BitDefender LinkScan, linkscan[.]io, solo se vieron en dos campañas en junio de 2024. Estos correos electrónicos tenían asuntos similares al posterior subconjunto:
Asuntos de correo electrónico comunes |
Movimiento inmediata requerida: Error del servidor de correo – Paso a la puesta al día el martes 11 de junio de 2024 – TicketID: LCCP-YLSNYA-FLLWK |
Hoja de horas para |
Figura 4: Correo electrónico con URL incrustada codificada por el escaneo de enlaces de BitDefender LinkScan[.]yo.
Reescritura de URL de protección avanzadilla contra amenazas de Hornet Security
URL codificadas con reescritura de URL de protección avanzadilla contra amenazas de Hornet Security (enlaces segundos)[.]seguridad en la cirro[.]net) se vieron principalmente a finales de mayo y principios de junio de 2024 con 8 sujetos únicos. Estos correos electrónicos tenían asuntos similares al posterior subconjunto:
Asuntos de correo electrónico comunes |
PVX #5LOA: Completo: firme y devuelva #Ref-D786DYY37B(2) |
Vaya, ocultamos algunos mensajes suyos Caso del 9 de junio: #UMMQEGA7 |
Notificación de puesta al día de la hoja de horas: vea los cambios Ref-VJ7N8GO012P realizados en su hoja de horas |
Remisión de hoja de horas: confirme su nueva hoja de horas |
Figura 5: Correo electrónico con URL incrustada codificada por los segundos enlaces de reescritura de URL de Hornet Security Advanced Threat Protection[.]seguridad en la cirro[.]neto.
URL codificadas con la otra URL codificada de Hornet Security Advanced Threat Protection, atpscan[.]general[.]avispónseguridad[.]com, solo se vieron en campañas a finales de mayo y principios de junio de 2024 con 16 temas únicos. Estos correos electrónicos tenían asuntos similares al posterior subconjunto:
Asuntos de correo electrónico comunes |
Aceptado sólo para 83574 – |
#0IU6IB Revisión lunes 10 de junio de 2024 |
YV8 72Q: Firmar y devolver #Ref-JB0UOYAY19P |
4700-27Z Por privanza complete: Firmar y devolver #Ref-04020427Z |
Movimiento requerida: Retenemos 9 mensajes tuyos. |
Figura 6: Correo electrónico con URL incrustada codificada por atpscan de Hornet Security Advanced Threat Protection URL Rewriting[.]general[.]avispónseguridad[.]com.
Barracuda Email Gateway Defense Protección de enlaces
URL codificadas por Barracuda Email Gateway Defense Link Protection, especialmente URL codificadas por linkprotect[.]cudasvc[.]com se vieron con 19 asuntos únicos en el segundo trimestre de 2024. Estos correos electrónicos tenían asuntos similares al posterior subconjunto:
Asuntos de correo electrónico comunes |
#23321041 |
Su DocXXX demora su aprobación Ref:#ezgyo4r |
Software de Bienestar Integral para |
Su DocXXX demora su aprobación Ref:#hlufnew |
Figura 7: Correo electrónico con URL incrustada codificada por linkprotect de Barracuda Email Gateway Defense Link Protection[.]cudasvc[.]com.
Tipos de campañas vistas que utilizan URL codificadas en SEG
Hubo muchos tipos diferentes de campañas que utilizaron URL codificadas con SEG en el segundo trimestre. Algunos de los temas más comunes fueron contenido que requería firma y correo de voz o notificaciones por correo electrónico retenidas. Como puede estar en las figuras anteriores, DocuSign y Microsoft fueron a menudo falsificados.
Documentos
Una gran cantidad de campañas centradas en contenido que requiere una firma falsificaron DocuSign. A pesar de esta suplantación, relativamente pocas de las campañas utilizaron un enlace de DocuSign positivo, lo cual no es infrecuente entre los correos electrónicos de Credential Phishing que falsifican DocuSign. Es probable que esto se deba a que los enlaces de DocuSign se utilizan normalmente para eludir los SEG y si el actor de la amenaza ya está eludiendo un SEG codificando la URL maliciosa, entonces no necesita realizar un paso adicional que podría eliminarse.
microsoft
Solo superada por DocuSign, Microsoft fue la marca más comúnmente falsificada en campañas de correo electrónico que utilizan URL codificadas SEG en el segundo trimestre de 2024. Aunque no todas las falsificaciones de Microsoft tenían sentido, por ejemplo, el Noticia de hoja de tiempo de falsificación de Microsoft en la Figura 3, todavía era comúnmente gastado. Esta es una táctica popular para los actores de amenazas que buscan extralimitarse de la confianza inherente de las víctimas en marcas conocidas.