Ciberdelincuentes abusan de Cloudflare R2 para alojar páginas de phishing

Iniciado por Dragora, Agosto 16, 2023, 08:09:21 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 16, 2023, 08:09:21 PM

El uso de Cloudflare R2 por parte de los actores de amenazas para alojar páginas de phishing ha sido testigo de un aumento de 61 veces en los últimos seis meses.

"La mayoría de las campañas de phishing se dirigen a las credenciales de inicio de sesión de Microsoft, aunque hay algunas páginas dirigidas a Adobe, Dropbox y otras aplicaciones en la nube", dijo el investigador de seguridad de Netskope, Jan Michael.

Cloudflare R2, análogo a Amazon Web Service S3, Google Cloud Storage y Azure Blob Storage, es un servicio de almacenamiento de datos para la nube.

El desarrollo se produce cuando el número total de aplicaciones en la nube desde las que se originan las descargas de malware ha aumentado a 167, con Microsoft OneDrive, Squarespace, GitHub, SharePoint y Weebly ocupando los cinco primeros lugares.

Las campañas de phishing identificadas por Netskope no solo abusan de Cloudflare R2 para distribuir páginas de phishing estáticas, sino que también aprovechan la oferta Turnstile de la compañía, un reemplazo de CAPTCHA, para colocar dichas páginas detrás de barreras anti-bot para evadir la detección.

Al hacerlo, evita que los escáneres en línea como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta lleguen al sitio de phishing real, ya que la prueba CAPTCHA resulta en una falla.

Como una capa adicional de evasión de detección, los sitios maliciosos están diseñados para cargar el contenido solo cuando se cumplen ciertas condiciones.

"El sitio web malicioso requiere que un sitio de referencia incluya una marca de tiempo después de un símbolo hash en la URL para mostrar la página de phishing real", dijo Michael. "Por otro lado, el sitio de referencia requiere un sitio de phishing que se le pase como parámetro".

En caso de que no se pase ningún parámetro de URL al sitio de referencia, los visitantes son redirigidos a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta[.] .com.

El desarrollo se produce un mes después de que la compañía de ciberseguridad revelara detalles de una campaña de phishing que se descubrió alojando sus páginas de inicio de sesión falsas en AWS Amplify para robar las credenciales bancarias de los usuarios y Microsoft 365, junto con los detalles de pago con tarjeta a través de la API Bot de Telegram.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario