Les acteurs malveillants tirent parti des fonctions d'encapsulation de liens pour diffuser leurs contenus de phishing

Pleins feux sur les menaces — 30 juillet 2025

Vue d'ensemble

De juin 2025 à juillet 2025, l'équipe Cloudflare Email Security a suivi un groupe de cybercriminels dont l'activité consistait à tirer parti des fonctions de « link wrapping » (encapsulation de liens) de Proofpoint et d'Intermedia pour masquer le contenu malveillant des e-mails de phishing. L'objectif poursuivi était d'exploiter la confiance humaine et les délais de détection afin de contourner les défenses.

Le processus d'encapsulation de liens est conçu par les fournisseurs tels que Proofpoint pour protéger les utilisateurs en routant l'ensemble des URL qui ont fait l'objet d'un clic vers un service d'analyse afin de bloquer les destinations malveillantes connues au moment du clic. Le lien transmis par e-mail et à destination de la page http://malicioussite[.]com pourrait, par exemple, devenir https://urldefense[.]proofpoint[.]com/v2/url?u=httpp-3A__malicioussite[.]com. Si cette protection s'avère efficace contre les menaces connues, les attaques peuvent néanmoins réussir si le lien encapsulé n'a pas été signalé par l'outil d'analyse au moment du clic.

Les campagnes récemment observées par l'équipe Cloudflare Email Security révèlent de quelle manière les acteurs malveillants exploitent les fonctionnalités d'encapsulation de liens proposées par Proofpoint et Intermedia pour contourner les mesures de détection et rediriger les victimes vers diverses pages de phishing Microsoft Office 365. Cette technique revêt un danger tout particulier, car les victimes se montreront beaucoup plus enclines à cliquer sur une URL Proofpoint ou Intermedia « de confiance » plutôt que sur un lien de phishing non encapsulé.

Exemple de campagne : Proofpoint

L'utilisation abusive de la fonction d'encapsulation de lien proposée par Proofpoint a pour objectif d'obtenir un accès non autorisé à des comptes e-mail protégés par Proofpoint (c'est-à-dire, des comptes qui tirent déjà parti des fonctionnalités d'encapsulation d'URL de Proofpoint). L'acteur malveillant utilise probablement ces comptes pour « blanchir » les URL malveillantes par l'intermédiaire de la fonction d'encapsulation de lien de Proofpoint afin de diffuser les liens nouvellement légitimés dans ses campagnes de phishing, soit directement depuis le compte protégé par Proofpoint, soit par le biais d'un autre compte compromis ou d'un compte contrôlé par un tiers.

Les acteurs malveillants ont abusé de la fonction d'encapsulation de lien Proofpoint de différentes manières, dont l'abus de la redirection multiniveau effectuée à l'aide de raccourcisseurs d'URL par l'intermédiaire de comptes compromis. Cette technique particulière permet aux acteurs malveillants d'augmenter leur degré de dissimulation en raccourcissant tout d'abord leur lien malveillant à l'aide d'un outil de raccourcissement d'URL public, comme Bitly. Après avoir envoyé le lien raccourci par le biais d'un compte protégé par Proofpoint, Proofpoint encapsule le lien, en créant ainsi une chaîne de redirection dans laquelle chaque maillon de la chaîne ajoute une couche de dissimulation : raccourcisseur d'URL → encapsulation Proofpoint → page de destination de la campagne de phishing.

Vous trouverez ci-dessous un exemple de message de phishing reposant sur cette technique. L'e-mail se présente comme une notification de message vocal invitant le destinataire à cliquer sur un bouton contenant un hyperlien :

E-mail de phishing se faisant passer pour une notification de message vocal et contenant un lien encapsulé

L'hyperlien derrière le bouton « Écouter le message vocal » pointe vers une URL raccourcie :

Cette URL conduit à un lien encapsulé par Proofpoint, qui entraîne à son tour une série de redirections vers une page de phishing Microsoft Office 365 conçue pour dérober les identifiants :

Une page de phishing Microsoft conçue pour recueillir les identifiants

Le cas du faux document partagé Microsoft Teams constitue un autre exemple courant de campagne mettant en œuvre cette technique :

E-mail de phishing se présentant comme un document Microsoft Teams

Encore une fois, l'hyperlien dissimulé derrière le bouton « Accéder au document Teams » pointe vers une URL raccourcie :

https://s7ku6[.]lu/lnk/AVoAAHBNPHAAAc6tFoQAA-YEUe0AAYKJ…

Cette URL conduit à un lien encapsulé par Proofpoint :

https://urldefense[.]proofpoint[.]com/v2/url?u=http-3A_scra..

Là encore, ce lien entraîne à son tour une série de redirections vers la page de destination finale du phishing :

https://scratchpaperjournal[.]com

Bien que les liens encapsulés aient été désactivés et que le contenu malveillant ne soit plus disponible dans ce cas particulier, l'équipe Cloudflare Email Security soupçonne fortement que ce contenu malveillant redirige probablement vers des pages de phishing Microsoft, compte tenu des similitudes entre les exemples et du caractère habituel de l'usurpation d'identité de Microsoft.

Exemple de campagne : Intermedia

Les cas d'utilisation abusive de la fonction d'encapsulation de lien Intermedia que nous avons observés visaient également à obtenir un accès non autorisé à des comptes e-mail protégés par cette fonctionnalité. Vous trouverez ci-dessous un exemple de message de phishing partant d'un compte e-mail compromis par un acteur malveillant au sein d'une entreprise protégée par Intermedia et utilisé par le cybercriminel pour envoyer des e-mails de phishing contenant des liens malveillants. Comme les e-mails ont été envoyés depuis l'intérieur de l'entreprise, Intermedia a automatiquement réécrit les liens lors de leur transit à travers son infrastructure.

L'e-mail se présente comme une notification de message sécurisé émise par Zix et comportant un appât de type « Afficher un document sécurisé » :

E-mail de phishing contenant un lien encapsulé et envoyé par l'intermédiaire d'un compte compromis

L'hyperlien dissimulé derrière le bouton « Afficher un document sécurisé » est en réalité une URL encapsulée par Intermedia :

L'URL url[.]emailprotection[.]link redirige ensuite vers une page Constant Contact au sein de laquelle la véritable page de phishing a été mise en place :

Redirection Constant Contact depuis le lien url[.]emailprotection[.]link

Le cas du faux document Word partagé constitue un autre exemple courant de campagne mettant en œuvre cette technique :

E-mail de phishing contenant un lien vers un faux document Word partagé

Là encore, l'hyperlien dissimulé derrière le bouton « Accéder au fichier » cache en réalité une URL encapsulée par Intermedia :

Ce lien redirige vers une page de phishing Microsoft conçue pour dérober des identifiants :

Page de phishing Microsoft conçue pour dérober des identifiants

Une autre utilisation astucieuse de cette technique impliquait le fait de se faire passer pour Microsoft Teams :

E-mail de phishing contenant un lien vers un faux message de Teams

L'hyperlien dissimulé derrière le bouton « Répondre dans Teams » se présente sous la forme du lien encapsulé suivant :

Encore une fois, ce lien redirige vers une page de phishing Microsoft conçue pour recueillir des identifiants :

Page de phishing Microsoft conçue pour dérober des identifiants

Effets

En dissimulant les destinations malveillantes derrière les URL légitimes urldefense[.]proofpoint[.]com et url[.]emailprotection, l'utilisation abusive des services d'encapsulation de liens de confiance mises en œuvre par ces campagnes de phishing augmente considérablement la probabilité de réussite de l'attaque. Les acteurs malveillants exploitent la confiance inhérente que les utilisateurs placent dans ces outils de sécurité. Or, cette confiance peut entraîner une chance de clic plus élevée et une probabilité accrue de répercussions, telles que les suivantes :

  • Pertes financières directes : en faisant apparaître les liens frauduleux comme légitimes, les acteurs malveillants réduisent la méfiance éprouvée par les utilisateurs au moment critique du clic, en multipliant dès lors les chances de pertes financières directes. En 2024, le courrier électronique constituait le moyen de contact incriminé dans 25 % des signalements de fraudes. Parmi ces dernières, 11 % ont entraîné des pertes financière s'élevant au total à 502 millions d'USD (soit une perte médiane de 600 USD par incident).

  • Compromission de comptes personnels conduisant à une usurpation d'identité : l'encapsulation de liens pourrait s'imposer comme une méthode particulièrement fiable pour dérober des données à caractère personnel. Avec 1,1 million de signalements effectués en 2024 pour vol d'identité, les campagnes de phishing représentent l'un des moyens principaux par lesquels les acteurs malveillants peuvent dérober des informations personnelles. Les fraudes aux cartes de paiement et aux prestations gouvernementales demeurent toutefois les catégories principales en la matière.

  • Fardeau considérable en termes de temps pour les victimes : les victimes de vol d'identité, qui se retrouvent souvent dans cette situation suite à une tentative de phishing, sont confrontées à d'importantes pertes de temps. En effet, la résolution des affaires liées à la fiscalité s'est étalée en moyenne sur 22 mois (676 jours) au cours de l'exercice fiscal 2024.

  • Le phishing comme moyen principal de violation : les recherches de Comcast révèlent que 67 % de l'ensemble des violations commencent par un clic sur un lien apparemment sûr.

  • Vol d'identifiants par phishing : le pic de 300 % du nombre d'incidents liés à un vol d'identifiants observé par Picus Security en 2024 peut résulter de l'utilisation de techniques de phishing plus efficaces, comme l'encapsulation de lien.

Atténuation et détection

Comme cette campagne effectue un usage abusif des domaines de confiance proposés par les fournisseurs de sécurité, le filtrage d'URL basé sur la réputation s'avère inefficace. Les mesures de détection suivantes ont été rédigées par Cloudflare Email Security pour vous protéger contre les campagnes de phishing reposant sur les techniques d'encapsulation de liens décrites plus haut. Elles tirent parti de divers signaux basés sur les données historiques des campagnes et intègrent des modèles d'apprentissage automatique (Machine Learning) entraînés sur des messages contenant des URL résultant de l'encapsulation de liens.

  • SentimentCM.HR.Self_Send.Link_Wrapper.URL

  • SentimentCM.Voicemail.Subject.URL_Wrapper.Attachment

Indicateurs de compromission

Détection par empreintes numériques au sein des e-mails (EDF)


Ressources associées

Freight fraud surge: global supply chain compromises
Pics de fraude au fret : les compromissions de la chaîne d'approvisionnement mondiale

Vue d'ensemble de la campagne

Disrupting FlyingYeti's campaign targeting Ukraine - illustration
Campagne de déstabilisation par FlightYeti visant l'Ukraine

Rapport sur les menaces

Impersonation is fooling the enterprise
L'usurpation d'identité pour tromper l'entreprise

Vue d'ensemble de la campagne