Los investigadores en ciberseguridad han emitido una advertencia sobre el uso de Cloudflare Workers en campañas de phishing que buscan obtener credenciales de usuarios de Microsoft, Gmail, Yahoo! y cPanel Webmail.
El método de ataque, conocido como phishing transparente o phishing adversario en el medio (AitM), utiliza Cloudflare Workers como servidor proxy inverso para páginas de inicio de sesión legítimas. Esto permite capturar credenciales, cookies y tokens al interceptar el tráfico entre la víctima y la página de inicio de sesión, según un informe del investigador de Netskope, Jan Michael Alcantara.
La mayoría de las campañas de phishing en Cloudflare Workers en los últimos 30 días se han dirigido a Asia, Norteamérica y el sur de Europa, afectando a los sectores de tecnología, servicios financieros y banca. En el segundo trimestre de 2023 se registró un aumento en el tráfico a páginas de phishing alojadas en Cloudflare Workers, con un incremento en el número total de dominios distintos, pasando de poco más de 1,000 en el cuarto trimestre de 2023 a casi 1,300 en el primer trimestre de 2024.
Estas campañas hacen uso de una técnica llamada smugling HTML para ensamblar carga maliciosa en el lado del cliente, lo que les permite evadir las protecciones de seguridad. Además, el uso de smugling HTML resalta las complejas estrategias que los actores de amenazas están empleando para realizar ataques en sistemas específicos al servir páginas de phishing reconstruidas y mostradas a los usuarios en un navegador web.
Las páginas de phishing, por su parte, inducen a las víctimas a iniciar sesión con Microsoft Outlook u Office 365 para ver un supuesto documento PDF. Si continúan, utilizan páginas de inicio de sesión falsas alojadas en Cloudflare Workers para recolectar credenciales, incluyendo códigos de autenticación de múltiples factores (MFA).
La forma en que se crea la página de phishing es a través de una versión alterada de un kit de herramientas de Cloudflare AitM de código abierto, según Michael Alcantara. Una vez que la víctima ingresa sus credenciales, el atacante recopila los metadatos de su solicitud web, e identifica y recopila los tokens y cookies en la respuesta, así como cualquier actividad adicional que realice la víctima después del inicio de sesión.
El smugling HTML como mecanismo de entrega de carga es cada vez más favorecido por los actores de amenazas para servir páginas HTML fraudulentas y otro malware sin levantar alertas, lo que confirma la sofisticación de estos métodos.
Otra campaña notoria implica correos electrónicos de phishing con temática de factura que contienen archivos HTML que fingen ser páginas de inicio de sesión de visor de PDF. Esto se hace para robar las credenciales de la cuenta de correo electrónico de los usuarios y luego redirigirlos a una URL que aloja el llamado «comprobante de pago«.
Los servicios financieros, la fabricación, la energía/utilidades, los minoristas y las entidades de consultoría en EE. UU., Canadá, Alemania, Corea del Sur y Noruega han surgido como los principales sectores objetivo del PhaaS Greatness, que busca robar credenciales de inicio de sesión de Microsoft 365 y evadir MFA utilizando la técnica AitM. Estos servicios ofrecen capacidades avanzadas que atraen a los atacantes al ahorrarles tiempo en el desarrollo y las tácticas de evasión, indicaron los investigadores de Trellix.
Además, hay una tendencia hacia el aumento del uso de inteligencia artificial generativa (GenAI) para elaborar correos electrónicos de phishing efectivos y entregando archivos comprimidos con cargas útiles de malware excesivamente grandes con la esperanza de evadir el análisis. El método de inflación de archivos se ha observado como un truco para entregar malware adicional, como Agent Tesla, AsyncRAT, Quasar RAT y Remcos RAT.
El uso adversarial de GenAI para el desarrollo de exploits y deepfakes por actores de amenazas subraya la necesidad de medidas de seguridad sólidas, pautas éticas y mecanismos de supervisión. Además, esto se ha extendido a campañas como TrkCdn, SpamTracker y SecShow que aprovechan el túnel del sistema de nombres de dominio (DNS) para monitorear a los usuarios que abren correos electrónicos de phishing y hacen clic en enlaces maliciosos, rastrear la entrega de spam, así como escanear redes de víctimas en busca de vulnerabilidades potenciales.
Estos hallazgos coinciden con un aumento de campañas de malvertising que utilizan anuncios maliciosos para engañar a los usuarios a instalar troyanos de acceso remoto como SectopRAT, así como con el establecimiento de páginas falsas que imitan a instituciones financieras como Barclays para entregar software de escritorio remoto legítimo. En este contexto, la cautela es fundamental al interactuar con resultados de búsqueda patrocinados, ya que pueden conducir a la compromiso a través de instaladores maliciosos.
Vía The Hacker News
