По данным Cloudflare, суть атаки заключается в подмене и «отбеливании» вредоносных URL-адресов за счёт обёртывания их в доверенные домены, используемые службой проверки. Такие ссылки проходят через промежуточные ресурсы вроде «urldefense[.]proofpoint[.]com» или «url[.]emailprotection[.]link», предназначенные для анализа ссылок на момент перехода. Однако при взломе корпоративных учётных записей преступники получают возможность массово рассылать такие обёрнутые ссылки, при этом сами фильтры нередко оказываются бессильны — вредонос скрыт внутри доверенного слоя. Об этом пишет Securitylab.
Обнаруженные атаки демонстрируют чётко выстроенные цепочки перенапралений: сначала используется сервис сокращения ссылок вроде Bitly, затем — переход к ссылке, обёрнутой системой Proofpoint или Intermedia, после чего пользователь перенаправляется на фишинговую страницу, внешне неотличимую от интерфейсов Microsoft 365 или Teams. Именно такая структура значительно повышает шансы на успешное похищение учётных данных — пользователи видят знакомый адрес, за которым скрывается поддельная форма авторизации.
Особенно активно такие схемы реализуются через ранее взломанные корпоративные почтовые ящики. В случае с Proofpoint атакующие распространяли письма, имитирующие уведомления о голосовых сообщениях или совместном доступе к документам. Пример одной из атак включал переход от Bitly-ссылки к адресу в домене «urldefense[.]proofpoint[.]com», а затем — редирект через сайт «gojo[.]lci-nd[.]com» к поддельной странице Microsoft. Там пользователь вводил логин и пароль, передававшиеся напрямую злоумышленникам.
Система Intermedia тоже оказалась уязвима для схожих манипуляций. Здесь компрометация аккаунта в организации приводила к тому, что исходящие письма автоматически оборачивали вредоносные ссылки, визуально выдавая их за защищённые сообщения от Zix или документы Microsoft. Такие письма перенаправляли пользователей через платформы рассылки, включая Constant Contact, прямо на страницы, созданные для кражи данных.