Investigadores en ciberseguridad alertan sobre campañas de phishing que abusan Trabajadores de Cloudflare para servir sitios de phishing que se utilizan para recopilar las credenciales de los usuarios asociadas con Microsoft, Gmail, Yahoo! y cPanel Webmail.
El método de ataque, llamado phishing transparente o adversario en el medio (AitM) phishing, «utiliza Cloudflare Workers para actuar como un servidor proxy inverso para una página de inicio de sesión legítima, interceptando el tráfico entre la víctima y la página de inicio de sesión para capturar credenciales, cookies y tokens», dijo el investigador de Netskope Jan Michael Alcantara. dicho en un informe.
La mayoría de las campañas de phishing alojadas en Cloudflare Workers durante los últimos 30 días se han dirigido a víctimas en Asia, América del Norte y el sur de Europa, abarcando los sectores de tecnología, servicios financieros y bancario.
La firma de ciberseguridad dijo que un aumento en el tráfico a las páginas de phishing alojadas por Cloudflare Workers se registró por primera vez en el segundo trimestre de 2023, y señaló que observó un aumento en el número total de dominios distintos, pasando de poco más de 1000 en el cuarto trimestre de 2023 a casi 1300 en el primer trimestre. 2024.
Las campañas de phishing hacen uso de una técnica llamada contrabando de HTML, que implica el uso de JavaScript malicioso para ensamblar la carga maliciosa en el lado del cliente para evadir las protecciones de seguridad. También sirve para resaltar las estrategias sofisticadas que utilizan los actores de amenazas para implementar y ejecutar ataques en sistemas específicos.
Lo que es diferente en este caso es que la carga útil maliciosa es una página de phishing, que se reconstruye y se muestra al usuario en un navegador web.
La página de phishing, por su parte, insta a la víctima a iniciar sesión con Microsoft Outlook u Office 365 (ahora Microsoft 365) para ver un supuesto documento PDF. Si lo cumplen, se utilizan páginas de inicio de sesión falsas alojadas en Cloudflare Workers para recopilar sus credenciales y códigos de autenticación multifactor (MFA).
«Toda la página de phishing se crea utilizando una versión modificada de un kit de herramientas de código abierto Cloudflare AitM», dijo Michael Alcantara. «Una vez que la víctima accede a la página de inicio de sesión del atacante, el atacante recopila los metadatos de su solicitud web».
«Una vez que la víctima ingresa sus credenciales, iniciará sesión en el sitio web legítimo y el atacante recopilará los tokens y las cookies en la respuesta. Además, el atacante también tendrá visibilidad de cualquier actividad adicional que realice la víctima después de iniciar sesión».
El contrabando de HTML como mecanismo de entrega de carga útil está siendo cada vez más favorecido por los actores de amenazas que desean eludir las defensas modernas, haciendo posible servir páginas HTML fraudulentas y otro malware sin generar ninguna señal de alerta.
En un caso destacado por Huntress Labs, el archivo HTML falso se utiliza para inyectar un iframe del portal de autenticación legítimo de Microsoft que se recupera de un dominio controlado por un actor.
«Esto tiene las características distintivas de un ataque de phishing proxy transparente con un adversario en el medio que evita MFA, pero utiliza una carga útil de contrabando HTML con un iframe inyectado en lugar de un simple enlace», dijo el investigador de seguridad Matt Kiely. dicho.
Otra campaña que ha atrajo la atención involucra correos electrónicos de phishing con temas de facturas que contienen archivos adjuntos HTML que se hacen pasar por páginas de inicio de sesión del visor de PDF para robar las credenciales de la cuenta de correo electrónico de los usuarios, antes de redirigirlos a una URL que alberga el llamado «comprobante de pago».
En los últimos años, los ataques de phishing basados en correo electrónico han adoptado diversas formas, incluido el aprovechamiento del phishing como servicio (PhaaS) kits de herramientas como Grandeza para robar las credenciales de inicio de sesión de Microsoft 365 y eludir MFA utilizando la técnica AitM, donde los atacantes incorporan códigos QR dentro de archivos PDF y utilizan comprobaciones CAPTCHA antes de redirigir a las víctimas a la página de inicio de sesión falsa.
Los servicios financieros, la manufactura, la energía/servicios públicos, el comercio minorista y las entidades de consultoría ubicadas en los EE. UU., Canadá, Alemania, Corea del Sur y Noruega se han convertido en los principales sectores a los que se dirige Greatness PhaaS.
«Estos servicios ofrecen capacidades avanzadas que atraen a los atacantes ahorrándoles tiempo en desarrollo y tácticas de evasión», investigadores de Trellix. dicho.
El desarrollo se produce cuando los actores de amenazas encuentran constantemente nuevas formas de burlar a los sistemas de seguridad y propagar malware recurriendo a la inteligencia artificial generativa (GenAI) para crear correos electrónicos de phishing efectivos y entregar archivos adjuntos comprimidos que contienen cargas útiles de malware demasiado grandes (más de 100 MB de tamaño). con la esperanza de evadir el análisis.
«Escanear archivos más grandes requiere más tiempo y recursos, lo que puede ralentizar el rendimiento general del sistema durante el proceso de escaneo», la firma de ciberseguridad. dicho. «Para minimizar el uso excesivo de memoria, algunos motores antivirus pueden establecer límites de tamaño para el análisis, lo que provoca que se omitan archivos de gran tamaño».
El método de inflación de archivos se ha observado como una estrategia de ataque para entregar malware adicional, como Agent Tesla, AsyncRAT, Quasar RAT y Remcos RAT, agregó.
Es más, el uso contradictorio de GenAI para el desarrollo de exploits y la generación de deepfake por parte de varios actores de amenazas subraya la necesidad de medidas de seguridad sólidas, directrices éticas y mecanismos de supervisión.
Estas innovaciones para eludir los mecanismos de detección tradicionales también se han extendido a campañas como TrkCdn, SpamTracker y SecShow que están aprovechando Túnel del sistema de nombres de dominio (DNS) para monitorear cuándo sus objetivos abren correos electrónicos de phishing y hacen clic en enlaces maliciosos, rastrear la entrega de spam y escanear las redes de las víctimas en busca de posibles vulnerabilidades.
«La técnica de túnel DNS utilizada en la campaña TrkCdn está destinada a rastrear la interacción de la víctima con el contenido de su correo electrónico», Unidad 42 de Palo Alto Networks. dicho en un informe publicado a principios de este mes, se agrega que los atacantes incrustan contenido en el correo electrónico que, cuando se abre, realiza una consulta DNS a los subdominios controlados por el atacante.
«[SpamTracker] emplea correos electrónicos y enlaces a sitios web para entregar contenido de spam y phishing. La intención de la campaña es atraer a las víctimas para que hagan clic en los enlaces detrás de los cuales los actores de amenazas han ocultado su carga útil en los subdominios».
Los hallazgos también se producen en medio de un aumento en campañas de publicidad maliciosa que aprovechan anuncios maliciosos para software popular en los resultados de los motores de búsqueda para engañar a los usuarios para que instalen ladrones de información y troyanos de acceso remoto como SectopRAT (también conocido como ArechClient).
Además de eso, los malos actores han sido observado configurar páginas falsificadas que imitan a instituciones financieras como Barclays y que ofrecen software de escritorio remoto legítimo como AnyDesk con el pretexto de ofrecer soporte por chat en vivo, otorgándoles acceso remoto a los sistemas en el proceso.