Safe Links da Cisco usados para mascarar URLs maliciosas

Pesquisadores da Raven detectaram uma campanha de roubo de credenciais em que cibercriminosos exploraram a tecnologia Cisco Safe Links, usada para análise de links suspeitos em sistemas de filtragem de e-mails. O recurso substitui endereços potencialmente maliciosos por URLs que passam pela infraestrutura da Cisco, induzindo confiança automática em domínios como secure-web.cisco.com.

Leia também
Malware em arquivos .RAR ataca setores
ShinyHunters e Scattered Spider unem operações

Os atacantes exploraram essa confiança para mascarar links maliciosos. Em muitos casos, eles comprometiam contas de empresas protegidas pela Cisco e enviavam malware a partir delas, gerando links legítimos que eram posteriormente usados em campanhas direcionadas. Também foram identificadas técnicas como envio de mensagens via serviços de terceiros utilizando a infraestrutura da Cisco e reaproveitamento de Safe Links criados anteriormente.

Um dos exemplos recentes envolveu um e-mail se passando por serviço de assinatura eletrônica, com linguagem empresarial convincente e layout profissional. Como o endereço pertencia ao domínio da Cisco, filtros tradicionais não o bloquearam. Apenas uma análise aprofundada do contexto, identificando parâmetros suspeitos na URL e inconsistências nos processos de negócio, revelou a fraude.

Segundo os pesquisadores, o risco é elevado porque os ataques parecem legítimos do ponto de vista técnico. O foco deixa de ser vulnerabilidades no código e passa a explorar a confiança dos usuários em marcas reconhecidas e em processos corporativos. Isso representa uma evolução significativa nas táticas dos cibercriminosos.

O estudo conclui que mecanismos baseados apenas em reputação de domínios são insuficientes. Para mitigar esse tipo de ameaça, é necessário adotar sistemas de defesa contextuais com inteligência artificial, capazes de identificar anomalias comportamentais e incoerências em comunicações de negócios. Sem isso, campanhas aparentemente legítimas podem resultar no roubo de credenciais.