Pesquisadores de segurança cibernética estão alertando sobre campanhas de phishing que abusam dos Cloudflare Staff para veicular websites de phishing usados para coletar credenciais de usuários associadas à Microsoft, Gmail, Yahoo! e Webmail cPanel.
O método de ataque, denominado phishing transparente ou phishing adversário no meio (AitM), “usa Cloudflare Staff para atuar como um servidor proxy reverso para uma página de login legítima, interceptando o tráfego entre a vítima e a página de login para capturar credenciais, cookies e tokens”, disse Jan Michael Alcantara, pesquisador da Netskope, em um relatório.
A maioria das campanhas de phishing hospedadas no Cloudflare Staff nos últimos 30 dias tiveram como alvo vítimas na Ásia, na América do Norte e no sul da Europa, abrangendo setores de tecnologia, serviços financeiros e bancários.
A empresa de segurança cibernética disse que um aumento no tráfego para páginas de phishing hospedadas por Cloudflare Staff foi registrado pela primeira vez no segundo trimestre de 2023, observando que observou um aumento no número whole de domínios distintos, saltando de pouco mais de 1.000 no quarto trimestre de 2023 para quase 1.300 no primeiro trimestre. 2024.
As campanhas de phishing utilizam uma técnica chamada contrabando de HTML, que envolve o uso de JavaScript malicioso para montar a carga maliciosa no lado do cliente para escapar das proteções de segurança. Também serve para destacar as estratégias sofisticadas que os agentes de ameaças estão usando para implantar e executar ataques em sistemas direcionados.
A diferença neste caso é que a carga maliciosa é uma página de phishing, que é reconstruída e exibida ao usuário em um navegador da internet.
A página de phishing, por sua vez, incentiva a vítima a fazer login no Microsoft Outlook ou Workplace 365 (agora Microsoft 365) para visualizar um suposto documento PDF. Caso sigam em frente, páginas de login falsas hospedadas no Cloudflare Staff serão usadas para coletar suas credenciais e códigos de autenticação multifator (MFA).
“Toda a página de phishing é criada usando uma versão modificada de um package de ferramentas Cloudflare AitM de código aberto”, disse Michael Alcantara. “Depois que a vítima acessa a página de login do invasor, o invasor coleta seus metadados de solicitação da internet”.
“Assim que a vítima inserir suas credenciais, ela fará login no web site legítimo e o invasor coletará os tokens e cookies na resposta. Além disso, o invasor também terá visibilidade de qualquer atividade adicional que a vítima understand após o login.”
O contrabando de HTML como mecanismo de entrega de carga útil está sendo cada vez mais favorecido por agentes de ameaças que desejam contornar as defesas modernas, tornando possível veicular páginas HTML fraudulentas e outros malwares sem levantar quaisquer sinais de alerta.
Em um exemplo destacado pelo Huntress Labs, o arquivo HTML falso é usado para injetar um iframe do portal de autenticação legítimo da Microsoft que é recuperado de um domínio controlado por um ator.
“Isso tem as características de um ataque de phishing de proxy transparente com adversário no meio, mas usa uma carga útil de contrabando de HTML com um iframe injetado em vez de um hyperlink simples”, disse o pesquisador de segurança Matt Kiely.
Outra campanha que atraiu a atenção envolve e-mails de phishing com tema de fatura contendo anexos HTML que se disfarçam como páginas de login do visualizador de PDF para roubar credenciais de contas de e-mail dos usuários, antes de redirecioná-los para uma URL que hospeda o chamado “comprovante de pagamento”.
Nos últimos anos, os ataques de phishing baseados em e-mail assumiram várias formas, incluindo o aproveitamento de kits de ferramentas de phishing como serviço (PhaaS), como o Greatness, para roubar credenciais de login do Microsoft 365 e contornar a MFA usando a técnica AitM, com os invasores incorporando códigos QR em PDF. arquivos e utilizando verificações CAPTCHA antes de redirecionar as vítimas para a página de login falsa.
Serviços financeiros, manufatura, energia/serviços públicos, varejo e entidades de consultoria localizadas nos EUA, Canadá, Alemanha, Coreia do Sul e Noruega emergiram como os principais setores visados pelo Greatness PhaaS.
“Esses serviços oferecem recursos avançados que atraem os invasores, economizando-lhes tempo em desenvolvimento e táticas de evasão”, disseram os pesquisadores da Trellix.
O desenvolvimento ocorre no momento em que os agentes de ameaças estão constantemente encontrando novas maneiras de enganar os sistemas de segurança e propagar malware, recorrendo à inteligência synthetic generativa (GenAI) para criar e-mails de phishing eficazes e entregar anexos de arquivos compactados contendo cargas de malware excessivamente grandes (mais de 100 MB de tamanho). na esperança de escapar da análise.
“A verificação de arquivos maiores exige mais tempo e recursos, o que pode diminuir o desempenho geral do sistema durante o processo de verificação”, disse a empresa de segurança cibernética. “Para minimizar o consumo pesado de memória, alguns mecanismos antivírus podem definir limites de tamanho para verificação, fazendo com que arquivos grandes sejam ignorados.”
O método de inflação de arquivos foi observado como uma estratégia de ataque para fornecer malware adicional, como Agent Tesla, AsyncRAT, Quasar RAT e Remcos RAT, acrescentou.
Além disso, o uso adversário da GenAI para o desenvolvimento de exploits e a geração de deepfakes por vários atores de ameaças sublinha a necessidade de medidas de segurança robustas, diretrizes éticas e mecanismos de supervisão.
Essas inovações para contornar os mecanismos tradicionais de detecção também se estenderam a campanhas como TrkCdn, SpamTracker e SecShow, que estão aproveitando o tunelamento do Sistema de Nomes de Domínio (DNS) para monitorar quando seus alvos abrem e-mails de phishing e clicam em hyperlinks maliciosos, rastreiam a entrega de spam, bem como para verificar as redes das vítimas em busca de vulnerabilidades potenciais.
“A técnica de tunelamento DNS usada na campanha TrkCdn tem como objetivo rastrear a interação da vítima com o conteúdo do e-mail”, disse a Unidade 42 da Palo Alto Networks em um relatório publicado no início deste mês, acrescentando que os invasores incorporam conteúdo no e-mail que, quando aberto, executa uma consulta DNS para subdomínios controlados pelo invasor.
“(SpamTracker) emprega e-mails e hyperlinks de websites para entregar spam e conteúdo de phishing. A intenção da campanha é atrair as vítimas a clicarem nos hyperlinks por trás dos quais os agentes de ameaças ocultaram sua carga nos subdomínios.”
As descobertas também ocorrem em meio a um aumento nas campanhas de malvertising que aproveitam anúncios maliciosos de software program in style nos resultados de mecanismos de pesquisa para induzir os usuários a instalarem ladrões de informações e trojans de acesso remoto, como o SectopRAT (também conhecido como ArechClient).
Além disso, foram observados maus atores configurando páginas falsificadas que imitam instituições financeiras como o Barclays, que fornecem software program de desktop remoto legítimo, como o AnyDesk, sob o pretexto de oferecer suporte por chat ao vivo, garantindo-lhes acesso remoto aos sistemas no processo.
