AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Campaña de phishing abusa servicios de link wrapping de Proofpoint e Intermedia para evadir defensas

admin

Introducción

En los últimos días, investigadores en ciberseguridad han alertado sobre una campaña de phishing que explota los servicios de “link wrapping” de proveedores de referencia como Proofpoint e Intermedia. Esta técnica, destinada originalmente a incrementar la seguridad mediante el análisis y redirección de enlaces sospechosos, está siendo manipulada por actores maliciosos para eludir las defensas de correo electrónico corporativo y entregar cargas útiles peligrosas sin ser detectadas. El incidente pone de relieve tanto la sofisticación creciente de los atacantes como la necesidad de revisar los controles en soluciones de seguridad perimetral.

Contexto del Incidente

El “link wrapping” es una funcionalidad implementada por soluciones de seguridad líderes en el sector, como Proofpoint Email Protection y las plataformas de Intermedia, que consiste en envolver los enlaces incluidos en los correos electrónicos con una URL intermedia. Esta URL redirige el tráfico hacia un servicio de análisis en tiempo real, que verifica la reputación del destino final antes de permitir que el usuario acceda al contenido. Si el enlace es considerado malicioso, el acceso es bloqueado para proteger al usuario.

Sin embargo, los atacantes han identificado una debilidad en este flujo de protección. Aprovechando la confianza que muchos filtros y usuarios depositan en los enlaces “protegidos” por estos servicios, los ciberdelincuentes han comenzado a encapsular sus propios enlaces maliciosos dentro de URLs generadas por Proofpoint e Intermedia, logrando así sortear múltiples capas de análisis automatizado y engañar a las víctimas.

Detalles Técnicos

La campaña, identificada a finales de mayo de 2024, utiliza técnicas de evasión avanzadas:

– **Vectores de ataque**: Los correos electrónicos de phishing contienen enlaces aparentemente legítimos envueltos en URLs de Proofpoint (por ejemplo, `https://urldefense.proofpoint.com/v2/url?u=…`) o Intermedia, ocultando así la verdadera naturaleza del destino final.
– **Carga útil**: Tras varias redirecciones, el usuario es dirigido a sitios de phishing o a la descarga de malware, con variantes detectadas como troyanos bancarios (por ejemplo, Qbot y Emotet), stealers de credenciales y cargas iniciales de ransomware.
– **Técnicas y Tácticas**: Según la matriz MITRE ATT&CK, la campaña se clasifica en T1192 (Spearphishing Link) y T1204.001 (User Execution: Malicious Link).
– **Indicadores de Compromiso (IoC)**: URLs de Proofpoint y Intermedia con parámetros sospechosos, hosts comprometidos redireccionando a dominios recién registrados o con baja reputación, y patrones de tráfico anómalos en logs de proxy.
– **Versiones afectadas**: No se trata de una vulnerabilidad de software per se, sino de un abuso de una funcionalidad legítima. Todas las versiones de los servicios de link wrapping de Proofpoint e Intermedia pueden ser objeto de explotación bajo este vector.
– **Herramientas utilizadas**: Se han observado campañas con exploits personalizados y, en algunos casos, el uso de frameworks como Metasploit para el despliegue de payloads y Cobalt Strike para el control post-explotación.

Impacto y Riesgos

La campaña amenaza la integridad de los sistemas corporativos y personales al explotar la confianza en servicios de seguridad ampliamente adoptados. Entre los riesgos identificados destacan:

– **Bypass de filtros**: Al utilizar dominios de alta reputación (Proofpoint, Intermedia), los filtros de spam y phishing convencionales no detectan los enlaces maliciosos.
– **Elevada tasa de éxito**: Según estimaciones, hasta un 35% de los mensajes maliciosos encapsulados en estos servicios logran eludir las defensas de correo tradicionales.
– **Impacto económico**: La descarga de malware y robo de credenciales puede derivar en pérdidas económicas directas, interrupción operativa y brechas de datos, con multas asociadas a GDPR que pueden alcanzar hasta el 4% de la facturación anual global.
– **Difusión rápida**: Gracias a la dificultad para identificar estos enlaces como maliciosos, la campaña puede propagarse ampliamente en poco tiempo.

Medidas de Mitigación y Recomendaciones

Los expertos recomiendan una combinación de acciones técnicas y de concienciación:

– **Revisión de reglas de filtrado**: Actualizar los motores de análisis para inspeccionar en profundidad los destinos finales de los enlaces “wrappados”, no solo los dominios intermediarios.
– **Análisis de sandbox**: Implementar soluciones que sigan automáticamente las redirecciones para identificar cargas útiles en destino.
– **Educación y simulacros**: Refuerzo de la formación en phishing para usuarios, haciendo hincapié en no confiar ciegamente en enlaces “protegidos” y en la verificación de las URLs finales.
– **Monitorización de IoCs**: Integrar los indicadores asociados a la campaña en SIEM y sistemas EDR.
– **Políticas de acceso restringido**: Limitar la apertura de enlaces desde dispositivos no gestionados y segmentar el acceso a recursos críticos.

Opinión de Expertos

Varios analistas de ciberseguridad han coincidido en que este tipo de ataques revela la necesidad de un enfoque “zero trust” incluso hacia soluciones de seguridad de renombre. “No podemos asumir que el envoltorio de una URL legítima garantiza la benignidad del destino. Los sistemas deben analizar el contexto y el contenido final de cada enlace”, advierte un CISO de una entidad bancaria europea. Asimismo, se subraya la importancia de la colaboración entre proveedores para mejorar las capacidades de detección y respuesta ante este tipo de abusos.

Implicaciones para Empresas y Usuarios

Para las organizaciones, este incidente recalca la importancia de no depender exclusivamente de soluciones perimetrales y de mantener una estrategia de defensa en profundidad. La exposición a este vector puede poner en jaque tanto la continuidad de negocio como el cumplimiento de normativas como GDPR y NIS2, especialmente en sectores críticos como finanzas, sanidad o energía. Los usuarios, por su parte, deben ser conscientes de que la presencia de un dominio aparentemente seguro no garantiza la ausencia de riesgo.

Conclusiones

La explotación de los servicios de link wrapping por parte de actores maliciosos constituye una amenaza emergente que desafía las estrategias tradicionales de filtrado y análisis de enlaces. El caso subraya la necesidad de evolucionar hacia soluciones que analicen el destino final y no solo los intermediarios, así como reforzar la concienciación en todos los niveles de la organización. Solo una combinación de tecnología avanzada y educación podrá mitigar de manera efectiva este tipo de ataques en el entorno digital actual.

(Fuente: feeds.feedburner.com)