Pesquisadores de segurança cibernética estão alertando sobre campanhas de phishing que abusam dos Cloudflare Workers para servir sites de phishing usados para colher credenciais de usuários associadas ao Microsoft, Gmail, Yahoo! e cPanel Webmail.
O método de ataque, chamado de phishing transparente ou phishing de adversário-no-meio (AitM), “usa Cloudflare Workers para agir como um servidor proxy reverso para uma página legítima de login, interceptando o tráfego entre a vítima e a página de login para capturar credenciais, cookies e tokens,” disse o pesquisador da Netskope, Jan Michael Alcantara, em um relatório.
A maioria das campanhas de phishing hospedadas no Cloudflare Workers nos últimos 30 dias têm como alvo vítimas na Ásia, América do Norte e Sul da Europa, abrangendo tecnologia, serviços financeiros e setores bancários.
A empresa de segurança cibernética disse que um aumento no tráfego para páginas de phishing hospedadas no Cloudflare Workers foi registrado pela primeira vez no segundo trimestre de 2023, observando um pico no número total de domínios distintos, pulando de pouco mais de 1.000 no quarto trimestre de 2023 para quase 1.300 no primeiro trimestre de 2024.
As campanhas de phishing fazem uso de uma técnica chamada HTML smuggling, que envolve o uso de JavaScript malicioso para montar a carga maliciosa no lado do cliente para evitar proteções de segurança. Ele serve também para destacar as estratégias sofisticadas que os atores de ameaças estão usando para implantar e executar ataques em sistemas específicos.
O que é diferente neste caso é que a carga maliciosa é uma página de phishing, que é reconstruída e exibida ao usuário em um navegador da web.
A página de phishing, por sua vez, instiga a vítima a fazer login com o Microsoft Outlook ou Office 365 (agora Microsoft 365) para visualizar um suposto documento PDF. Caso sigam adiante, páginas de login falsas hospedadas no Cloudflare Workers são usadas para colher suas credenciais e códigos de autenticação de múltiplos fatores (MFA).
“A página de phishing inteira é criada usando uma versão modificada de um toolkit AitM de código aberto do Cloudflare,” disse Michael Alcantara. “Uma vez que a vítima acessa a página de login do atacante, o atacante coleta os metadados da solicitação da web.”
“Uma vez que a vítima insere suas credenciais, eles serão logados no site legítimo, e o atacante coletará os tokens e cookies na resposta. Além disso, o atacante também terá visibilidade sobre qualquer atividade adicional que a vítima realizar após o login.”
O HTML smuggling como mecanismo de entrega de carga está sendo cada vez mais favorito por atores de ameaças que desejam driblar defesas modernas, tornando possível servir páginas HTML fraudulentas e outro malware sem levantar suspeitas.
Em uma instância destacada pela Huntress Labs, o arquivo HTML falso é usado para injetar um iframe do portal de autenticação da Microsoft legítima que é recuperado de um domínio controlado pelo ator.
“Isso tem as características de um ataque de phishing transparente de proxy AitM de bypass de MFA, mas usa uma carga furtiva de HTML com um iframe injetado em vez de um simples link,” disse o pesquisador de segurança Matt Kiely.
Outra campanha que tem chamado a atenção envolve e-mails de phishing temáticos de faturas contendo anexos HTML que se passam por páginas de login do visualizador de PDF para roubar as credenciais da conta de e-mail dos usuários, antes de redirecioná-los para uma URL hospedando o chamado “comprovante de pagamento.”
Nos últimos anos, os ataques de phishing por e-mail assumiram várias formas, incluindo a alavancagem de kits de ferramentas de phishing-como-serviço como PhaaS como Greatness para roubar credenciais de login do Microsoft 365 e contornar a MFA usando a técnica AitM, com os atacantes incorporando códigos QR em arquivos PDF e utilizando verificações CAPTCHA antes de redirecionar as vítimas para a página de login falsa.
Serviços financeiros, manufatura, energia/utilidades, varejo e entidades de consultoria localizadas nos EUA, Canadá, Alemanha, Coreia do Sul e Noruega surgiram como os principais setores visados pelo Greatness PhaaS.
“Esses serviços oferecem capacidades avançadas que apelam aos atacantes ao economizar tempo no desenvolvimento e táticas de evasão,” disseram os pesquisadores da Trellix, Daksh Kapur, Vihar Shah e Pooja Khyadgi, em uma análise publicada na semana passada.
O desenvolvimento ocorre conforme os atores de ameaças estão constantemente encontrando novas maneiras de superar os sistemas de segurança e propagar malware recorrendo à inteligência artificial geradora (GenAI) para criar e-mails de phishing eficazes e entregar anexos de arquivos comprimidos contendo cargas de malware muito grandes (com mais de 100 MB de tamanho) na esperança de evitar análises.
“A verificação de arquivos maiores leva mais tempo e recursos, o que pode diminuir o desempenho geral do sistema durante o processo de verificação”, disse a empresa de segurança cibernética. “Para minimizar a carga pesada de memória, alguns motores antivírus podem definir limites de tamanho para a verificação, fazendo com que arquivos grandes sejam ignorados.”
O método de inflação de arquivos tem sido observado como uma estratégia de ataque para entregar malware adicional, como Agent Tesla, AsyncRAT, Quasar RAT e Remcos RAT, acrescentou.
Além disso, o uso adverso de GenAI para desenvolvimento de exploits e geração de deepfakes por vários atores de ameaças destaca a necessidade de medidas de segurança robustas, diretrizes éticas e mecanismos de supervisão.
O uso de abordagens inovadoras para burlar mecanismos de detecção tradicionais também se estendeu a campanhas como TrkCdn, SpamTracker e SecShow que estão aproveitando o DNS tunneling para monitorar quando seus alvos abrem e-mails de phishing e clicam em links maliciosos, rastrear a entrega de spam, bem como escanear as redes das vítimas em busca de vulnerabilidades potenciais.
“A técnica de DNS tunneling usada na campanha TrkCdn visa rastrear a interação de uma vítima com o conteúdo do e-mail,” disse o Palo Alto Networks Unit 42 em um relatório publicado no início deste mês, acrescentando que os atacantes incorporam conteúdo no e-mail que, quando aberto, realiza uma consulta DNS para subdomínios controlados pelo atacante.
“O [SpamTracker] emprega e-mails e links de site para entregar conteúdo de spam e phishing. A intenção da campanha é atrair vítimas para clicar nos links, atrás dos quais os atores de ameaças têm ocultado sua carga nos subdomínios.”
As descobertas também ocorrem em meio a um aumento nas campanhas de malvertising que se aproveitam de anúncios maliciosos de software popular nos resultados de busca dos mecanismos de busca para enganar os usuários a instalarem ladrões de informações e trojans de acesso remoto, como SectopRAT (também conhecido como ArechClient).
Além disso, atores maliciosos têm sido observados criando páginas falsas imitando instituições financeiras como Barclays que entregam software legítimo de desktop remoto como AnyDesk sob a falsa promessa de oferecer suporte de chat ao vivo, concedendo acesso remoto aos sistemas no processo.
“É mais importante do que nunca ser extremamente cauteloso quando se trata de resultados patrocinados,” disse Jerome Segura, da Malwarebytes. “Muitas vezes, não há uma maneira fácil de determinar se um anúncio é legítimo ou não. Os criminosos são capazes de criar instaladores maliciosos que podem evitar detecção e levar a comprometimentos por meio de uma série de etapas”