Você está visualizando atualmente Novos Truques no Livro de Golpes de Phishing: Cloudflare Workers, HTML Smuggling, GenAI

Novos Truques no Livro de Golpes de Phishing: Cloudflare Workers, HTML Smuggling, GenAI

Pesquisadores de cibersegurança alertam para campanhas de phishing que abusam do Cloudflare Workers para servir sites de phishing que são usados para coletar credenciais de usuários associadas ao Microsoft, Gmail, Yahoo! e cPanel Webmail. O método de ataque, chamado de phishing transparente ou phishing intermediário (AitM), “usa o Cloudflare Workers para atuar como um servidor proxy reverso para uma página de login legítima, interceptando o tráfego entre a vítima e a página de login para capturar credenciais, cookies e tokens”, disse o pesquisador da Netskope, Jan Michael Alcantara, em um relatório. A maioria das campanhas de phishing hospedadas no Cloudflare Workers nos últimos 30 dias tem como alvo vítimas na Ásia, América do Norte e Sul da Europa, abrangendo setores de tecnologia, serviços financeiros e bancários. A empresa de cibersegurança afirmou que um aumento no tráfego para as páginas de phishing hospedadas no Cloudflare Workers foi registrado pela primeira vez no segundo trimestre de 2023, observando um aumento no total de domínios distintos, saltando de pouco mais de 1.000 no segundo trimestre de 2023 para quase 1.300 no primeiro trimestre de 2024. As campanhas de phishing utilizam uma técnica chamada de HTML smuggling, que envolve o uso de JavaScript malicioso para montar a carga maliciosa no lado do cliente, a fim de evitar proteções de segurança. Isso também serve para destacar as estratégias sofisticadas que os atores da ameaça estão usando para implantar e executar ataques em sistemas-alvo. O diferencial neste caso é que a carga maliciosa é uma página de phishing, que é reconstruída e exibida ao usuário em um navegador da web. A página de phishing, por sua vez, insta a vítima a entrar com sua conta da Microsoft Outlook ou Office 365 (agora Microsoft 365) para visualizar um suposto documento em PDF. Caso a vítima siga adiante, páginas falsas de login hospedadas no Cloudflare Workers são usadas para capturar suas credenciais e códigos de autenticação multifator (MFA). “A página inteira de phishing é criada usando uma versão modificada de um kit de ferramentas AitM de código aberto do Cloudflare”, disse Michael Alcantara. “Uma vez que a vítima acessa a página de login do atacante, o atacante coleta os metadados da solicitação web dela. Depois que a vítima entra com suas credenciais, ela será logada no site legítimo, e o atacante coletará os tokens e cookies na resposta. Além disso, o atacante também terá visibilidade sobre qualquer…