Dominios de Cloudflare son cada vez más utilizados por actores de amenazas

Iniciado por AXCESS, Diciembre 03, 2024, 10:53:45 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los dominios 'No tienes permitido ver enlaces. Registrate o Entra a tu cuenta' y 'No tienes permitido ver enlaces. Registrate o Entra a tu cuenta' de Cloudflare, utilizados para implementar páginas web y facilitar la computación sin servidor, están siendo cada vez más utilizados por cibercriminales para realizar phishing y otras actividades maliciosas.

Según la firma de ciberseguridad Fortra, el abuso de estos dominios ha aumentado entre un 100% y un 250% en comparación con 2023.

Los investigadores creen que el uso de estos dominios tiene como objetivo mejorar la legitimidad y la eficacia de estas campañas maliciosas, aprovechando la marca de confianza de Cloudflare, la fiabilidad del servicio, los bajos costes de uso y las opciones de proxy inverso que complican la detección.

Abuso de Cloudflare Pages


Cloudflare Pages es una plataforma diseñada para que los desarrolladores front-end creen, implementen y alojen sitios web rápidos y escalables directamente en la red de distribución de contenido (CDN) global de Cloudflare.

Cuenta con alojamiento de sitios estáticos, admite una variedad de marcos de implementación de aplicaciones web modernas y ofrece cifrado SSL/TLS de forma predeterminada, lo que garantiza conexiones HTTPS sin necesidad de configuración adicional.

Fortra informa que Cloudflare Pages se ha convertido en una herramienta para los cibercriminales que abusan de ella al alojar páginas de phishing intermediarias que redirigen a las víctimas a sitios maliciosos, como páginas de inicio de sesión falsas de Microsoft Office365.

Las víctimas son conducidas a través de enlaces incrustados en archivos PDF fraudulentos o en el cuerpo de los correos electrónicos de phishing, que no son detectados por los productos de seguridad gracias a la reputación de Cloudflare.

"El equipo de SEA de Fortra ha observado un aumento del 198 % en los ataques de phishing en las páginas de Cloudflare, pasando de 460 incidentes en 2023 a 1370 incidentes a mediados de octubre de 2024", informa Fortra.

"Con un promedio de aproximadamente 137 incidentes por mes, se espera que el volumen total de ataques supere los 1600 para fin de año, lo que representa un aumento interanual proyectado del 257 %".

Abuso de páginas de Cloudflare en cifras
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fortra también señala que los actores de amenazas utilizan la táctica "bccfoldering" para ocultar la escala de sus campañas de distribución de correo electrónico.

"A diferencia del campo cc, que muestra los destinatarios, bccfoldering oculta los destinatarios agregándolos solo al sobre del correo electrónico, no a los encabezados", explica Fortra.

"Esto hace que los destinatarios sean indetectables a menos que el servidor esté configurado para revelarlos. Esta táctica es utilizada por el adversario para ocultar la escala de la campaña de phishing, ya que los destinatarios ocultos pueden dificultar la detección de cuán grande es la campaña de phishing".

Correo electrónico de phishing que contiene un enlace a un dominio de Cloudflare Pages
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Abuso de Cloudflare Workers

Cloudflare Workers es una plataforma informática sin servidor que permite a los desarrolladores escribir e implementar aplicaciones y scripts ligeros directamente en la red de borde de Cloudflare.

Sus usos legítimos incluyen la implementación de API, la optimización de contenido, la implementación de CAPTCHA y firewall personalizados, la automatización de tareas y la creación de microservicios.

Fortra también ha visto un aumento en el abuso, incluso para llevar a cabo ataques de denegación de servicio distribuido (DDoS), implementar sitios de phishing, inyectar scripts dañinos en el navegador del objetivo y forzar las contraseñas de las cuentas.

En un caso destacado por los investigadores, se abusa de Cloudflare Workers para alojar un paso de verificación humana en un proceso de phishing para agregar legitimidad.

Paso de verificación utilizado en una campaña de phishing
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"Hemos sido testigos de un aumento del 104% en los ataques de phishing en esta plataforma [Cloudflare Workers], pasando de 2.447 incidentes en 2023 a 4.999 incidentes en lo que va de año", se lee en el informe de Fortra.

"Con un promedio actual de 499 incidentes por mes, se espera que el volumen total alcance casi 6.000 para fin de año, lo que refleja un aumento proyectado del 145% en comparación con el año anterior".

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los usuarios pueden defenderse del phishing que abusa de servicios legítimos verificando la autenticidad de las URL en las que se encuentran cuando se les pide que ingresen información confidencial.

Por último, activar medidas de seguridad de cuenta adicionales, como la autenticación de dos factores, puede ayudar a prevenir robos de identidad incluso cuando las credenciales están comprometidas.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta