Domnește o creștere a abuzului domeniilor ‘pages.dev’ și ‘workers.dev’ ale Cloudflare, folosite pentru implementarea paginilor web și facilitarea calculului fără server de către infractorii cibernetici pentru phishing și alte activități malitioase.
Potrivit firmei de securitate cibernetică Fortra, abuzul acestor domenii a crescut între 100% și 250% în comparație cu anul 2023.
Cercetătorii cred că utilizarea acestor domenii vizează îmbunătățirea legitimității și eficacității acestor campanii maligne, profitând de brandingul de încredere al Cloudflare, fiabilitatea serviciului, costurile reduse de utilizare și opțiunile de proxy invers care complică detectarea.
Cloudflare Pages este o platformă concepută pentru dezvoltatorii de front-end pentru a construi, implementa și găzdui site-uri web rapide și scalabile direct pe rețeaua globală de livrare a conținutului (CDN) a Cloudflare.
Aceasta oferă găzduire de site-uri statice, suportă o gamă de cadre moderne de implementare a aplicațiilor web și oferă criptare SSL/TLS implicită, asigurând conexiuni HTTPS fără a necesita configurări suplimentare.
Fortra raportează că Cloudflare Pages a devenit un instrument pentru infractorii cibernetici care îl abuzează prin găzduirea unor pagini intermediare de phishing care redirecționează victimele către site-uri maligne cum ar fi paginile false de autentificare Microsoft Office365.
Victimele sunt conduse acolo prin linkuri încorporate în PDF-uri frauduloase sau în corpuri de email de phishing, care nu sunt semnalate de produsele de securitate datorită reputației Cloudflare.
„Echipa SEA a Fortra a observat o creștere cu 198% a atacurilor de phishing pe Cloudflare Pages, trecând de la 460 de incidente în 2023 la 1.370 de incidente până la jumătatea lunii octombrie 2024,” raportează Fortra.
„Cu o medie de aproximativ 137 de incidente pe lună, volumul total al atacurilor este de așteptat să depășească 1.600 până la sfârșitul anului, reprezentând o creștere proiectată anuală de 257%.”
Fortra remarcă de asemenea că actorii de amenințare folosesc tactica „bccfoldering” pentru a ascunde scala campaniilor lor de distribuție prin email.
„Spre deosebire de câmpul cc, care afișează destinatarii, bccfoldering ascunde destinatarii adăugându-i doar în plicul emailului, nu în antete,” explică Fortra.
„Acest lucru face destinatarii nedetectabili decât dacă serverul este configurat să-i dezvăluie. Această tactică este folosită de adversar pentru a ascunde scala campaniei de phishing, deoarece destinatarii ascunși pot face dificil de detectat cât de mare este campania de phishing.”
Cloudflare Workers este o platformă de calcul fără server care le permite dezvoltatorilor să scrie și să implementeze aplicații și scripturi ușoare direct pe rețeaua de edge a Cloudflare.
Utilizările lor legitime includ implementarea API-urilor, optimizarea conținutului, implementarea personalizată a firewall-ului și CAPTCHA-ului, automatizarea sarcinilor și crearea de microservicii.
Fortra a observat o creștere a abuzului Workers, inclusiv pentru efectuarea atacurilor de Serviciu Distribuit de Negare (DDoS), implementarea site-urilor de phishing, injectarea de scripturi dăunătoare în browserul țintei și forțarea brută a parolelor contului.
Într-un caz evidențiat de cercetători, Cloudflare Workers este abuzat pentru găzduirea unui pas de verificare umană într-un proces de phishing pentru a adăuga legitimitate.
„Am asistat la o creștere cu 104% a atacurilor de phishing pe această platformă [Cloudflare Workers], crescând de la 2.447 de incidente în 2023 la 4.999 de incidente până în prezent,” se arată în raportul Fortra.
„Cu o medie de 499 de incidente pe lună în prezent, volumul total se așteaptă să atingă aproape 6.000 până la sfârșitul anului, reflectând o creștere proiectată de 145% față de anul precedent.”
Utilizatorii se pot apăra împotriva phishing-ului care abuzează de serviciile legitime verificând autenticitatea URL-urilor pe care se află atunci când li se cere să introducă informații sensibile.
În cele din urmă, activarea unor pași suplimentari de securitate a contului, cum ar fi autentificarea în două pași, poate ajuta la prevenirea preluărilor chiar și atunci când credențialele sunt compromise.
Leave a Reply