Cloudflare Workers: Новата игра на фишинг

Пред последните години сме свидетели на все по-креативни методи за кибератаки, които само потвърждават тезата, че играта на котка и мишка в киберсвета продължава с усилени темпове. Една много интересна и нова тенденция са фишинг кампании, организирани чрез Cloudflare Workers. Тези кампании, уловени от Netskope Threat Labs, са дело на различни атакуващи организации, като използват два съвсем различни метода.

Първия метод, използван за кампания, е подобен на предишно разкритата Azorult атака и използва HTML smuggling, техника за избягване на засичането, често използвана за сваляне на malware. Тази техника скрива съдържанието на фишинга от мрежовите контроли за киберсигурност и я прави изключително трудна за откриване и предотвратяване от традиционните мерки за сигурност.

Другата кампания използва метод, наречен прозрачен фишинг, или adversary-in-the-middle (AitM) phishing. Тази техника използва Cloudflare Workers, за да действа като обратен прокси сървър на легитимна страница за вход в уеб приложения. Атакуващият прехваща трафика между жертвата и страницата за логин, за да открадне идентификационните данни, бисквитките и маркерите.

Броят на различните домейни, използвани в тези кампании, се е увеличил с 30% от малко над 1000 в Q4 2023 до почти 1300 в Q1 2024. Тези страници за фишинг обикновено подтикват потребителите да влязат с Microsoft Outlook или Office 365, за да прегледат фалшиви PDF документи, и така прихващат техните идентификационни данни.

Инструменти за фишинг-като-услуга (PhaaS), като Greatness, също са били използвани за кражба на Microsoft 365 идентификационни данни, заобикаляйки MFA с AitM техники. Тези кампании особено са насочени към жертви в Азия, Северна Америка и Южна Европа в различни сектори като технологии, финансови услуги и банки.

AitM, или Adversary-in-the-Middle, е вид кибер атака, при която злонамерен участник поставя себе си между две или повече мрежови устройства, за да прехване комуникации, и открадне чувствителни данни или манипулира мрежовия трафик. Това е като цифров вариант на подслушване, но вместо да слушате разговор, атакуващият прехваща и потенциално променя пакети и данни между устройствата.

Използването на Cloudflare Workers за фишинг е нова тенденция, която подчертава нуждата от организациите да бъдат бдителни и проактивни в защитата на чувствителните им данни. Както се казва, „Има два вида компании: тези, които са били хакнати, и тези, които не знаят, че са били хакнати.“