一个威胁者一直在滥用科技公司的链接包装服务来掩盖恶意链接，这些链接会导致微软 365 网络钓鱼页面收集登录凭证。

从 6 月到 7 月，攻击者利用了网络安全公司 Proofpoint 和云通信公司 Intermedia 的 URL 安全功能。一些电子邮件安全服务包括链接包装功能，该功能将邮件中的 url 重写为受信任的域，并通过一个扫描服务器进行扫描，以阻止恶意目标。

使网络钓鱼网址合法化

Cloudflare 的电子邮件安全团队发现，攻击者在入侵 Proofpoint 和 intermedia 保护的电子邮件帐户后，将恶意 url 合法化，并可能利用他们未经授权的访问来分发 " 清洗 " 的链接。

研究人员发现，攻击者以各种方式滥用 Proofpoint 链接包装，包括通过受损帐户使用 URL 缩短器进行多层重定向滥用。

攻击者添加了一个混淆层，在从受保护的账户发送恶意链接之前，首先缩短恶意链接，然后自动包装链接。攻击者用虚假的语音邮件通知或共享的微软团队文件来引诱受害者。在重定向链的末端是一个收集凭据的 Microsoft Office 365 钓鱼页面。

利用链接包装功能分发的微软 365 钓鱼邮件

在滥用 Intermedia 服务的活动中，威胁者发送电子邮件，假装是 "Zix" 安全消息通知，以查看安全文档，或冒充微软团队通知新消息。

据称指向该文件的链接是一个由 Intermedia 服务包装的 URL，并被重定向到一个假页面，该页面来自数字和电子邮件营销平台 Constant Contact，该平台托管了该钓鱼页面。点击虚假 Teams 通知中的回复按钮，就会进入一个收集登录凭证的微软网络钓鱼页面。

Cloudflare 的研究人员表示，通过用合法的电子邮件保护 url 来伪装恶意目的地，威胁者增加了成功攻击的几率。需要注意的是，滥用合法服务来传递恶意有效负载并不是什么新鲜事，但利用链接包装安全特性是网络钓鱼领域的最新发展。