Pesquisadores de segurança cibernética estão alertando sobre campanhas de phishing que abusam dos Cloudflare Workers para servir sites de phishing usados para capturar credenciais de usuários associadas ao Microsoft, Gmail, Yahoo! e cPanel Webmail.
O método de ataque, chamado phishing transparente ou phishing adversário no meio (AitM), “usa Cloudflare Workers para funcionar como um servidor proxy reverso para uma página de login legítima, interceptando o tráfego entre a vítima e a página de login para capturar credenciais, cookies e tokens”, disse o pesquisador da Netskope, Jan Michael Alcantara, em um relatório.
A maioria das campanhas de phishing hospedadas nos Cloudflare Workers nos últimos 30 dias tem como alvo vítimas na Ásia, América do Norte e Europa Meridional, abrangendo os setores de tecnologia, serviços financeiros e bancário.
A empresa de segurança cibernética disse que um aumento no tráfego para páginas de phishing hospedadas nos Cloudflare Workers foi registrado pela primeira vez no segundo trimestre de 2023, observando um aumento no total de domínios distintos, saltando de pouco mais de 1.000 no quarto trimestre de 2023 para quase 1.300 no primeiro trimestre de 2024.
As campanhas de phishing fazem uso de uma técnica chamada HTML smuggling, que envolve o uso de JavaScript malicioso para montar a carga maliciosa no lado do cliente para evitar proteções de segurança. Isso serve para destacar as estratégias sofisticadas que os atores ameaçadores estão usando para implantar e executar ataques em sistemas específicos.
O que diferencia este caso é que a carga maliciosa é uma página de phishing, que é reconstruída e exibida ao usuário em um navegador da web.
A página de phishing, por sua vez, insta a vítima a entrar com o Microsoft Outlook ou Office 365 (agora Microsoft 365) para visualizar um suposto documento em PDF. Se a vítima seguir adiante, páginas de login falsas hospedadas nos Cloudflare Workers são usadas para capturar suas credenciais e códigos de autenticação de vários fatores (MFA).
“A página de phishing inteira é criada usando uma versão modificada de um toolkit Cloudflare AitM de código aberto”, disse Michael Alcantara. “Assim que a vítima acessar a página de login do atacante, o atacante coletará os metadados da solicitação da web dela.”
“Uma vez que a vítima entra com suas credenciais, ela será logada no site legítimo, e o atacante coletará os tokens e cookies na resposta. Além disso, o atacante também terá visibilidade de qualquer atividade adicional que a vítima realizar após o login.”
O HTML smuggling como um mecanismo de entrega de carga útil está sendo cada vez mais favorecido por atores ameaçadores que desejam contornar as defesas modernas, tornando possível servir páginas HTML fraudulentas e outros malwares sem levantar nenhuma bandeira vermelha.
Em uma instância destacada pela Huntress Labs, o falso arquivo HTML é usado para injetar um iframe do portal de autenticação da Microsoft legítimo que é recuperado de um domínio controlado pelo agente.
“Este tem os traços de um ataque transparente de phishing de proxy adversário no meio de bypass de MFA, mas usa uma carga útil de HTML smuggling com um iframe injetado em vez de um simples link”, disse o pesquisador de segurança Matt Kiely.
Outra campanha que atraiu atenção envolve e-mails de phishing temáticos de fatura contendo anexos HTML que se disfarçam de páginas de login de visualizador de PDF para roubar as credenciais da conta de e-mail dos usuários, antes de redirecioná-los para um URL que hospeda o chamado “comprovante de pagamento”.
