La última ola de campañas de phishing de credenciales ha revelado un aliado inesperadamente conveniente para los actores de amenaza: las suites de seguridad de correo electrónico destinadas a proteger a los usuarios.
Observados por primera vez a fines de julio de 2025, múltiples grupos de phishing comenzaron a incorporar URL maliciosas dentro de los servicios legítimos de Wrapping Wrapping of Proofpoint’s Protect Platform (https://urldefense.proofpoint.com/v2/url?u=) y el Intermedia’s LinkSafe (https://safe.intermedia.net/?u=).
Debido a que los filtros corporativos ya confían en estos dominios, los enlaces envueltos recorren las puertas de enlace de correo no inspeccionadas, aterrizando directamente en las bandejas de entrada de los usuarios.
La cadena de ataque es engañosamente simple. Las víctimas reciben facturas, solicitudes de docusign o avisos de envío cuyos botones de llamada a la acción apuntan a una URL envuelta.
Cuando se hace clic, PruebePoint o Intermedia primero decodifica y luego reenvía silenciosamente el navegador a un sitio controlado por el atacante que imita las páginas de firma única de Microsoft 365 u Okta.
Investigadores de Cloudflare anotado que los neutros de lúpulo “confiables” intermedios, la mayoría de las detonaciones de sandbox, porque el destino final se resuelve solo dentro de la sesión del usuario, efectivamente, cortocircuitando las verificaciones de reputación de la URL heurística.
La telemetría de la campaña recopilada por sensores de redirección abierta muestra más de 180,000 mensajes desde el 1 de agosto dirigido a servicios financieros, firmas legales y educación superior.
Phishing Correo electrónico que se hace pasar por una notificación de correo de voz que contiene un enlace envuelto (fuente – Cloudflare)
En varios incidentes, los buzones comprometidos se armaron en cuestión de minutos para propagar aún más el señuelo, amplificando la propagación interna mientras se disfrazaban de hilos de respuesta legítimos.
Phishing Correo electrónico que se hace pasar por un documento de Microsoft Teams (fuente – Cloudflare)
El abuso subraya la paradoja en la que los controles de seguridad, cuando insuficieron, obtienen capas de alta fidelidad para adversarios.
Evasión de detección a través de la reescritura de URL oportunista
A diferencia del phishing tradicional que se basa en dominios tipográficos recién registrados, estas campañas explotan la resolución de URL condicional.
El envoltorio de Proofpoint almacena el objetivo en un parámetro U = codificado en Base64, mientras que una firma HMAC en K = asegura la integridad.
Los productos de seguridad generalmente verifican solo el HMAC antes de clasificar el enlace como seguro; No deseligen la carga útil durante el escaneo porque hacerlo destruiría el sello anti-manipulador del envoltorio.
Página de phishing de Microsoft diseñada para cosechar credenciales (fuente – Cloudflare)
Los atacantes simplemente generan un enlace válido al dejar que Proofpoint cree el envoltorio en un sitio benigno, luego editando la carga útil de Base64 sin actualizar la firma, ProtipPoint aún cargue la URL pero no puede garantizar la autenticidad, causando un avance silencioso.
El siguiente fragmento de Python replica el paso de manipulación y resalta por qué los escáneres estáticos lo pierden:-
import base64, urllib.parse, re wrapped = (“https://urldefense.proofpoint.com/v2/url?” “u=aHR0cHM6Ly93d3cuZXhhbXBsZS5jb20vP3Byb2Quaj0x&k=abcd1234″) payload = re.search(r”u=((^&)+)”, envuelto) .Group (1) decodificado = base64.URLSAFE_B64DECODE (carga útil + “==”). decode () print (‘objetivo original:’, decodificado) new_target = “https://malicious-domain.net/login.php” new_payload = = base64.URLSAFE_B64EnDODE (new_target.encode ()). Decode (). Rstrip (“=”) Tampered = re.sub (r “u = (^&)+”, f “u = {urllib.parse.quote (new_payload)}”, envuelto) imprimido (‘arrancado:’, tamampered)
Debido a que la firma k = nunca se vuelve a computarse, Proofpoint marca el enlace como “modificado” pero aún realiza el avance, una concesión de usabilidad ahora se explota.
LinkSafe de Intermedia muestra una debilidad análoga, que carece de cualquier token de integridad.
Hasta que Proofpoint e Intermedia revisen su lógica de validación para bloquear o al menos advierten visiblemente sobre los desajustes de firma, los defensores deben confiar en la detonación de URL completa y las heurísticas en el punto en proceso.
Se aconseja a los equipos de red que despojaran o reescriban enlaces envueltos en la capa Secure-Gateway, mientras que los SOC deben buscar cadenas Base64 dentro de U = parámetros que decodifican a dominios externos.
En esencia, el episodio es una historia de advertencia: las capas de seguridad que tienen éxito en aislamiento pueden, cuando se encadenan sin modelado de amenazas holísticas, abrir una carretera sin fricción directamente a la carga útil del atacante.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
