Istraživači cyber sigurnosti upozoravaju na phishing kampanje koje zloupotrebljavaju Cloudflare Workers za posluživanje phishing stranica koje se koriste za prikupljanje akreditiva korisnika povezanih s Microsoftom, Gmailom, Yahoo! i cPanel Webmailom.
Metoda napada, nazvana transparentna phishing ili protivnik-in-the-middle ( AitM ) phishing, “koristi Cloudflare Workers da djeluje kao obrnuti proxy server za legitimnu stranicu za prijavu, presrećući promet između žrtve i stranice za prijavu kako bi uhvatio kredencijale, kolačiće i tokene”, rekao je istraživač Netskopea Jan Michael Alcantara u izvještaju.
Većina phishing kampanja koje su hostovane na Cloudflare Workers-u u proteklih 30 dana ciljale su na žrtve u Aziji, Sjevernoj Americi i Južnoj Evropi, obuhvatajući tehnologiju, finansijske usluge i bankarski sektor.
Kompanija za cyber sigurnost saopštila je da je povećanje prometa na phishing stranicama koje hostuje Cloudflare Workers prvi put registrovano u drugom kvartalu 2023., napominjući da je uočen porast ukupnog broja različitih domena, skočivši sa nešto više od 1.000 u Q4 2023. na skoro 1.300 u Q1. 2024.
Kampanje za krađu identiteta koriste tehniku zvanu HTML Smuggling , koja uključuje korištenje zlonamjernog JavaScripta za sastavljanje zlonamjernog tereta na strani klijenta kako bi se izbjegla sigurnosna zaštita. Takođe služi da istakne sofisticirane strategije koje hakeri koriste za postavljanje i izvođenje napada na ciljane sisteme.
Ono što je drugačije u ovom slučaju je to što je zlonamjerni sadržaj phishing stranica, koja se rekonstruiše i prikazuje korisniku na web pretraživaču
Stranica za krađu identiteta, sa svoje strane, poziva žrtvu da se prijavi s Microsoft Outlookom ili Office 365 (sada Microsoft 365) kako bi pogledala navodni PDF dokument. Ako ih slijede, lažne stranice za prijavu hostirane na Cloudflare Workers-u koriste se za prikupljanje njihovih kredencijala i kodova za višefaktorsku autentifikaciju (MFA).
“Cijela stranica za krađu identiteta kreirana je korištenjem modificirane verzije Cloudflare AitM alata otvorenog koda”, rekao je Michael Alcantara. “Kada žrtva pristupi stranici za prijavu napadača, napadač prikuplja metapodatke svojih web zahtjeva.”
“Kada žrtva unese svoje kredencijale, bit će prijavljena na legitimnu web stranicu, a napadač će prikupiti tokene i kolačiće u odgovoru. Dalje, napadač će takođe imati uvid u sve dodatne aktivnosti koje žrtva izvrši nakon prijave.”
Smuggling HTML-a kao mehanizam za isporuku korisnog tereta sve više favoriziraju hakeri koji žele zaobići modernu odbranu, čineći mogućim posluživanje lažnih HTML stranica i drugog zlonamjernog softvera bez podizanja ikakvih crvenih zastavica.
U jednom slučaju koji je istakao Huntress Labs, lažna HTML datoteka se koristi za ubacivanje iframe legitimnog Microsoft sajta za autentifikaciju koji se preuzima sa domene pod kontrolom hakera.
“Ovo ima obilježja MFA zaobilaženja protivnik-in-the-middle transparentnog proxy phishing napada, ali koristi korisni teret za Smuggling HTML-a s umetnutim iframe-om umjesto jednostavne veze”, rekao je istraživač sigurnosti Matt Kiely .
Još jedna kampanja koja je privukla pažnju uključuje phishing e-poruke sa temom faktura koje sadrže HTML priloge koji se maskiraju kao stranice za prijavu na PDF preglednik kako bi ukrali kredencijale korisničkog računa e-pošte, prije nego što ih preusmjere na URL na kojem se nalazi takozvani “dokaz o plaćanju”.
Posljednjih godina, phishing napadi bazirani na e-pošti imali su različite oblike, uključujući korištenje kompleta alata za krađu identiteta kao usluge ( PhaaS ) kao što je Greatness za krađu Microsoft 365 kredencijale za prijavu i zaobilaženje MFA koristeći AitM tehniku, pri čemu napadači ugrađuju QR kodove unutar PDF-a. datoteke i korištenje CAPTCHA provjera prije preusmjeravanja žrtava na lažnu stranicu za prijavu.
Finansijske usluge, proizvodnja, energija/komunalne usluge, maloprodaja i konsultantski subjekti koji se nalaze u SAD-u, Kanadi, Njemačkoj, Južnoj Koreji i Norveškoj pojavili su se kao glavni sektori na koje cilja Greatness PhaaS.
“Ove usluge nude napredne mogućnosti koje su privlačne napadačima tako što im štede vrijeme na razvoju i taktikama izbjegavanja”, kažu istraživači Trellixa .
“Skeniranje većih datoteka oduzima više vremena i resursa, što može usporiti ukupne performanse sistema tokom procesa skeniranja”, rekla je firma za cyber sigurnost . “Da bi se minimizirao veliki memorijski otisak, neki antivirusni motori mogu postaviti ograničenja veličine za skeniranje, što dovodi do preskakanja prevelikih datoteka.”
Metoda inflacije datoteka promatrana je kao napad za isporuku dodatnog zlonamjernog softvera, kao što su Agent Tesla, AsyncRAT, Quasar RAT i Remcos RAT, dodaje se.
Štaviše, suprotstavljena upotreba GenAI za razvoj eksploatacije i stvaranje dubokih laži od strane različitih hakera naglašava potrebu za snažnim sigurnosnim mjerama, etičkim smjernicama i mehanizmima nadzora.
Ove inovacije za zaobilaženje tradicionalnih mehanizama detekcije takođe su se proširile na kampanje kao što su TrkCdn, SpamTracker i SecShow koje koriste tuneliranje sistema imena domena (DNS) za praćenje kada njihovi ciljevi otvaraju phishing e-poruke i kliknu na zlonamjerne veze, prate isporuku neželjene pošte, kao i da skenira mreže žrtava u potrazi za potencijalnim ranjivostima.
“Tehnika DNS tuneliranja koja se koristi u kampanji TrkCdn ima za cilj da prati interakciju žrtve sa njenim sadržajem e-pošte”, navodi se u izvještaju Palo Alto Networks Unit 42 objavljenom ranije ovog mjeseca, dodajući da napadači ugrađuju sadržaj u e-poštu koja, kada se otvori, izvodi DNS upit prema poddomenama koje kontrolira napadač.
“[SpamTracker] koristi e-poštu i linkove na web stranice za isporuku neželjenog sadržaja i phishing sadržaja. Namjera kampanje je namamiti žrtve da kliknu na linkove iza kojih su hakeri sakrili svoj teret u poddomenama.”
Nalazi takođe dolaze usred porasta zlonamjernih kampanja koje iskorištavaju zlonamjerne oglase za popularni softver na rezultatima tražilice kako bi prevarili korisnike da instaliraju alate za krađu informacija i trojance za daljinski pristup kao što je SectopRAT (aka ArechClient).
Zbog toga, uočeni su loši hakeri koji postavljaju krivotvorene stranice koje oponašaju finansijske institucije poput Barclaysa koje isporučuju legitiman softver za udaljene radne površine kao što je AnyDesk pod krinkom da nude podršku za ćaskanje uživo, dajući im daljinski pristup sistemima u tom procesu.
Izvor:The Hacker News