Secure Email Gateways (SEG) contribuyen en gran medida a proteger a las organizaciones contra malware, spam y correos electrónicos de phishing. Sin embargo, para algunos actores maliciosos, también son una opción atractiva para pasar mensajes maliciosos más allá de otros SEG.
Los investigadores de seguridad de Cofense informaron esta semana que observaron un reciente aumento de los ataques, Los actores maliciosos utilizaron SEG para codificar o reescribir URL maliciosas incrustadas en sus correos electrónicos para víctimas potenciales. En muchos casos, cuando los correos electrónicos llegan a su destino, los SEG dejan pasar URL maliciosas sin verificar adecuadamente el enlace.
La amenaza SEG versus SEG
La razón, dice Max Gannon, jefe de inteligencia de amenazas de Cofense, es que algunos productos de puerta de enlace de correo electrónico seguro no parecen manejar correctamente las URL codificadas en SEG y asumen que siempre son seguras, cuando en realidad no lo son. .
“No tenemos acceso a los componentes internos de los SEG, por lo que no puedo asegurarlo”, afirma Gannon. “Pero probablemente confíen implícitamente en las URL o intenten escanearlas, pero el dominio SEG que codifica la URL es confiable, por lo que [receiving] SEG asume que la URL en sí es legítima.
En la codificación SEG, un producto de puerta de enlace de correo electrónico seguro esencialmente reescribe cada URL de un correo electrónico saliente en un enlace que apunta a su propia infraestructura. Cuando un destinatario hace clic en el enlace codificado, primero se dirige al usuario al sistema SEG del remitente, que comprueba si la URL es segura antes de redirigir al usuario al destino previsto. Las comprobaciones suelen implicar evaluar la URL utilizando reputación, listas negras, firmas y otros mecanismos, lo que significa A veces pueden pasar días e incluso semanas hasta que un SEG antes de designar una URL como maliciosa.
En estas situaciones, pueden surgir problemas si la tecnología de puerta de enlace de correo electrónico segura del destinatario no reconoce que una URL ya codificada requiere escaneo, o si el SEG del destinatario escanea la URL pero solo ve el dominio de la puerta de enlace de correo electrónico de envío y no el destino final.
“A menudo, cuando los SEG detectan URL en correos electrónicos ya codificados por SEG, no los escanean, o el escaneo solo muestra la página de escaneo de la herramienta de seguridad y no el destino real”, escribió Cofense en su informe esta semana. “Como resultado, cuando un correo electrónico ya contiene URL codificadas en SEG, el SEG del destinatario a menudo deja pasar el correo electrónico sin verificar adecuadamente las URL incrustadas. »
Un aumento sustancial
Los piratas informáticos ya han abusado de la codificación SEG para introducir correos electrónicos maliciosos en entornos específicos. Pero hubo un aumento sustancial en el uso de esta táctica en el segundo trimestre de este año, particularmente en mayo, dijo Cofense.
Según el proveedor de seguridad, las cuatro puertas de enlace de seguridad de correo electrónico de las que los delincuentes han abusado más para codificar URL y pasarlas más allá de los mecanismos de defensa del correo electrónico son VIPRE Email Security, Bitdefender LinkScan, Hornet Security Advanced Threat URL Rewriting Protection y Barracuda Email Gateway Defense Link Protection. .
Cofense dijo que sus investigadores observaron que los atacantes usaban estos SEG para codificar URL maliciosas en campañas de temas mixtos dirigidas a usuarios protegidos por SEG de varios proveedores.
Gannon explica que algunas codificaciones SEG obligarían al actor malicioso a ejecutar su URL a través del SEG. “Otras codificaciones como Barracuda Link Protect simplemente le permitirían agregar su URL al comienzo de la URL maliciosa que está intentando evitar”, explica. “Por ejemplo, para utilizar Barracuda Link Protect para omitir los SEG con la URL hxxp[:]//Lugar equivocado[.]com/, simplemente agregaría la URL Barracuda Link Protect y la convertiría en: hxxps://linkprotect[.]cudasvc[.]es/url?a=hxxp[:]//Lugar equivocado[.]es/.”
Gannon dijo que una de las razones por las que los malos actores probablemente no utilizan esta táctica en una escala mucho más amplia es que implica trabajo adicional. “Lo más importante es el esfuerzo”, explica. Si un actor de amenazas puede tardar una hora en codificar todas las URL de una campaña y llegar a 500 bandejas de entrada adicionales, podría tardar la misma hora en encontrar 1000 direcciones de correo electrónico adicionales a las que enviar la campaña. »
Puede ser relativamente difícil protegerse contra esta táctica porque la mayoría de los SEG no tienen métodos de ajuste para anular otras codificaciones SEG, afirma Gannon. Por tanto, la mejor forma de combatir esta táctica sigue siendo la concienciación y la formación de los usuarios. “Un empleado atento e informado no hará clic en un enlace contenido en un correo electrónico sospechoso, incluso si la URL está codificada en SEG. »