Pesquisadores de cibersegurança estão alertando sobre campanhas de phishing que abusam dos Cloudflare Workers para servir sites de phishing usados para coletar credenciais de usuários associadas ao Microsoft, Gmail, Yahoo! e cPanel Webmail.

O método de ataque, chamado phishing transparente ou phishing de adversário no meio (AitM), “usa Cloudflare Workers para agir como um servidor proxy reverso para uma página de login legítima, interceptando o tráfego entre a vítima e a página de login para capturar credenciais, cookies e tokens”, disse o pesquisador da Netskope, Jan Michael Alcantara, em um relatório.

A maioria das campanhas de phishing hospedadas nos Cloudflare Workers nos últimos 30 dias têm como alvo vítimas na Ásia, América do Norte e Sul da Europa, abrangendo os setores de tecnologia, serviços financeiros e bancários.

A empresa de cibersegurança afirmou que um aumento no tráfego para páginas de phishing hospedadas nos Cloudflare Workers foi registrado pela primeira vez no segundo trimestre de 2023, observando um aumento no número total de domínios distintos, pulando de um pouco mais de 1.000 no quarto trimestre de 2023 para quase 1.300 no primeiro trimestre de 2024.

As campanhas de phishing fazem uso de uma técnica chamada HTML smuggling, que envolve o uso de JavaScript malicioso para montar a carga maliciosa no lado do cliente a fim de evitar proteções de segurança. Isso também serve para destacar as estratégias sofisticadas que os atores de ameaças estão usando para implantar e executar ataques em sistemas específicos.

O diferencial neste caso é que a carga maliciosa é uma página de phishing, que é reconstruída e exibida para o usuário em um navegador da web.