Cloudflare-werknemers, HTML-smokkel, GenAI

Cybersecurity-onderzoekers waarschuwen voor phishing-campagnes die misbruik maken van Cloudflare Workers om phishing-sites te bedienen die worden gebruikt om de inloggegevens van gebruikers te verzamelen die verband houden met Microsoft, Gmail, Yahoo! en cPanel Webmail.

De aanvalsmethode, transparante phishing of adversary-in-the-middle (AitM) phishing genoemd, “maakt gebruik van Cloudflare Workers om op te treden als een reverse proxy-server voor een legitieme inlogpagina, waarbij het verkeer tussen het slachtoffer en de inlogpagina wordt onderschept om inloggegevens vast te leggen, cookies en tokens”, zegt Netskope-onderzoeker Jan Michael Alcantara in een rapport.

Het merendeel van de phishing-campagnes die de afgelopen dertig dagen op Cloudflare Workers zijn gehost, was gericht op slachtoffers in Azië, Noord-Amerika en Zuid-Europa, in de technologie-, financiële dienstverlenings- en banksector.

Het cyberbeveiligingsbedrijf zei dat een toename van het verkeer naar door Cloudflare Workers gehoste phishing-pagina's voor het eerst werd geregistreerd in het tweede kwartaal van 2023, en merkte op dat het een piek waarnam in het totale aantal verschillende domeinen, van iets meer dan 1.000 in het vierde kwartaal van 2023 naar bijna 1.300 in het eerste kwartaal. 2024.

De phishing-campagnes maken gebruik van een techniek die HTML-smokkel wordt genoemd, waarbij kwaadaardig JavaScript wordt gebruikt om de kwaadaardige lading aan de clientzijde samen te stellen om zo de beveiligingsmaatregelen te omzeilen. Het dient ook om de geavanceerde strategieën te benadrukken die bedreigingsactoren gebruiken om aanvallen op gerichte systemen in te zetten en uit te voeren.

Wat in dit geval anders is, is dat de kwaadaardige lading een phishing-pagina is, die wordt gereconstrueerd en aan de gebruiker wordt weergegeven in een webbrowser.

De phishing-pagina spoort het slachtoffer op zijn beurt aan om in te loggen met Microsoft Outlook of Office 365 (nu Microsoft 365) om een ​​zogenaamd PDF-document te bekijken. Als ze dit toch doen, worden valse inlogpagina's die worden gehost op Cloudflare Workers gebruikt om hun inloggegevens en multi-factor authenticatiecodes (MFA) te verzamelen.

“De volledige phishing-pagina is gemaakt met behulp van een aangepaste versie van een open-source Cloudflare AitM-toolkit”, aldus Michael Alcantara. “Zodra het slachtoffer toegang krijgt tot de inlogpagina van de aanvaller, verzamelt de aanvaller de metadata van zijn webverzoek.”

“Zodra het slachtoffer zijn inloggegevens invoert, wordt hij ingelogd op de legitieme website en verzamelt de aanvaller de tokens en cookies in het antwoord. Bovendien heeft de aanvaller ook inzicht in eventuele extra activiteiten die het slachtoffer uitvoert na het inloggen.”

HTML-smokkel als mechanisme voor het afleveren van nuttige lading krijgt steeds meer de voorkeur van bedreigingsactoren die moderne verdedigingsmechanismen willen omzeilen, waardoor het mogelijk wordt om frauduleuze HTML-pagina's en andere malware aan te bieden zonder dat er alarmsignalen worden gegenereerd.

In één voorbeeld dat door Huntress Labs wordt benadrukt, wordt het nep-HTML-bestand gebruikt om een ​​iframe van het legitieme Microsoft-authenticatieportaal te injecteren dat wordt opgehaald uit een door een actor bestuurd domein.

“Dit heeft de kenmerken van een MFA-bypass-adversary-in-the-middle transparante proxy-phishing-aanval, maar gebruikt een HTML-smokkellading met een geïnjecteerd iframe in plaats van een eenvoudige link”, aldus beveiligingsonderzoeker Matt Kiely.

Een andere campagne die de aandacht heeft getrokken, betreft phishing-e-mails met facturen als thema, met HTML-bijlagen die zich voordoen als inlogpagina's voor PDF-viewers om de inloggegevens van de e-mailaccounts van gebruikers te stelen, voordat ze worden omgeleid naar een URL die het zogenaamde 'betalingsbewijs' host.

De afgelopen jaren hebben op e-mail gebaseerde phishing-aanvallen verschillende vormen aangenomen, waaronder het gebruik van phishing-as-a-service (PhaaS)-toolkits zoals Greatness om Microsoft 365-inloggegevens te stelen en MFA te omzeilen met behulp van de AitM-techniek, waarbij aanvallers QR-codes in PDF opnemen bestanden en het gebruik van CAPTCHA-controles voordat slachtoffers worden omgeleid naar de valse inlogpagina.

Financiële dienstverlening, productie, energie/nutsvoorzieningen, detailhandel en adviesorganisaties in de VS, Canada, Duitsland, Zuid-Korea en Noorwegen zijn naar voren gekomen als de topsectoren waarop de Greatness PhaaS zich richt.

“Deze diensten bieden geavanceerde mogelijkheden die aanvallers aanspreken door hen tijd te besparen op ontwikkelings- en ontwijkingstactieken”, aldus Trellix-onderzoekers.

Deze ontwikkeling komt doordat bedreigingsactoren voortdurend nieuwe manieren vinden om beveiligingssystemen te slim af te zijn en malware te verspreiden door hun toevlucht te nemen tot generatieve kunstmatige intelligentie (GenAI) om effectieve phishing-e-mails te maken en gecomprimeerde bestandsbijlagen te leveren die te grote malware-payloads bevatten (meer dan 100 MB groot). in de hoop de analyse te ontwijken.

“Het scannen van grotere bestanden kost meer tijd en middelen, wat de algehele systeemprestaties tijdens het scanproces kan vertragen”, aldus het cyberbeveiligingsbedrijf. “Om de zware geheugenbelasting te minimaliseren, kunnen sommige antivirusprogramma's groottelimieten instellen voor het scannen, waardoor te grote bestanden worden overgeslagen.”

De methode voor het opblazen van bestanden wordt gezien als een aanvalstruc om extra malware te verspreiden, zoals Agent Tesla, AsyncRAT, Quasar RAT en Remcos RAT, voegde het eraan toe.

Bovendien onderstreept het vijandige gebruik van GenAI voor de ontwikkeling van exploits en het genereren van deepfake door verschillende bedreigingsactoren de behoefte aan robuuste beveiligingsmaatregelen, ethische richtlijnen en toezichtsmechanismen.

Deze innovaties om traditionele detectiemechanismen te omzeilen, hebben zich ook uitgebreid tot campagnes als TrkCdn, SpamTracker en SecShow die gebruikmaken van DNS-tunneling (Domain Name System) om te monitoren wanneer hun doelwitten phishing-e-mails openen en op kwaadaardige links klikken, de bezorging van spam volgen en om slachtoffernetwerken te scannen op mogelijke kwetsbaarheden.

“De DNS-tunnelingtechniek die in de TrkCdn-campagne wordt gebruikt, is bedoeld om de interactie van een slachtoffer met de e-mailinhoud te volgen”, zei Palo Alto Networks Unit 42 in een eerder deze maand gepubliceerd rapport, eraan toevoegend dat de aanvallers inhoud in de e-mail insluiten die, wanneer geopend, voert een DNS-query uit op door de aanvaller gecontroleerde subdomeinen.

“(SpamTracker) maakt gebruik van e-mails en websitelinks om spam- en phishing-inhoud te leveren. De bedoeling van de campagne is om slachtoffers te verleiden om op de links te klikken waarachter bedreigingsactoren hun lading in de subdomeinen hebben verborgen.”

De bevindingen komen ook voort uit een golf van malvertisingcampagnes die misbruik maken van kwaadaardige advertenties voor populaire software in de resultaten van zoekmachines om gebruikers te misleiden tot het installeren van informatiestelers en trojans voor externe toegang, zoals SectopRAT (ook bekend als ArechClient).

Bovendien zijn er slechte actoren waargenomen die valse pagina's opzetten die financiële instellingen als Barclays nabootsen en die legitieme externe desktopsoftware zoals AnyDesk leveren onder het mom van het aanbieden van live chat-ondersteuning, waardoor ze op afstand toegang krijgen tot de systemen in het proces.

Thijs Van der Does