Cybersecurity-onderzoekers hebben gewaarschuwd voor een piek in het aantal phishing-pagina’s die zijn gemaakt met behulp van een websitebouwer genaamd Webflow, omdat bedreigingsactoren legitieme diensten zoals Cloudflare en Microsoft Sway in hun voordeel blijven misbruiken.
“De campagnes richten zich op gevoelige informatie van verschillende crypto-wallets, waaronder Coinbase, MetaMask, Phantom, Trezor en Bitbuy, evenals inloggegevens voor meerdere webmailplatforms van bedrijven, evenals inloggegevens van Microsoft 365”, zegt Netskope Threat Labs-onderzoeker Jan Michael Alcantara. zei in een analyse.
Het cyberbeveiligingsbedrijf zei dat het tussen april en september 2024 een tienvoudige toename van het verkeer naar phishingpagina’s die met behulp van Webflow waren gemaakt, registreerde, waarbij de aanvallen zich richtten op meer dan 120 organisaties over de hele wereld. Een meerderheid van de doelgroepen bevindt zich in Noord-Amerika en Azië, in de financiële dienstverlening, het bankwezen en de technologiesector.
Er is waargenomen dat de aanvallers Webflow gebruiken om zelfstandige phishing-pagina’s te maken, en om nietsvermoedende gebruikers om te leiden naar andere phishing-pagina’s onder hun controle.
“De eerste biedt aanvallers stealth en gemak omdat er geen phishing-coderegels hoeven te worden geschreven en gedetecteerd, terwijl de laatste de aanvaller de flexibiliteit geeft om indien nodig complexere acties uit te voeren”, aldus Michael Alcantara.
Wat Webflow een stuk aantrekkelijker maakt dan Cloudflare R2 of Microsoft Sway, is dat het gebruikers in staat stelt om zonder extra kosten aangepaste subdomeinen te maken, in tegenstelling tot automatisch gegenereerde willekeurige alfanumerieke subdomeinen die de neiging hebben om argwaan te wekken –
- Cloudflare R2 – https://pub-<32_alphanumeric_string>.r2.dev/webpage.htm
- Microsoft Sway – https://sway.cloud.microsoft/{16_alphanumeric_string}?ref={sharing_option}
In een poging de kans op succes van de aanval te vergroten, zijn de phishing-pagina’s ontworpen om de inlogpagina’s van hun legitieme tegenhangers na te bootsen om gebruikers te misleiden zodat ze hun inloggegevens verstrekken, die vervolgens in sommige gevallen naar een andere server worden geëxfiltreerd.
Netskope zei dat het ook Webflow-crypto-zwendelwebsites heeft geïdentificeerd die een screenshot van een legitieme portemonnee-startpagina als hun eigen landingspagina’s gebruiken en de bezoeker doorsturen naar de daadwerkelijke zwendelsite wanneer hij ergens op de nepsite klikt.
Het einddoel van de crypto-phishing-campagne is het stelen van de zaadzinnen van het slachtoffer, waardoor de aanvallers de controle over de cryptocurrency-portefeuilles kunnen kapen en geld kunnen weglekken.
Bij de door het cyberbeveiligingsbedrijf geïdentificeerde aanvallen krijgen gebruikers die uiteindelijk de herstelzin opgeven een foutmelding te zien waarin staat dat hun account is opgeschort vanwege ‘ongeoorloofde activiteit en identificatiefout’. Het bericht vraagt de gebruiker ook om contact op te nemen met het ondersteuningsteam door een online chat te starten op tawk.to.
Het is vermeldenswaard dat chatdiensten zoals LiveChat, Tawk.to en Smartsupp zijn misbruikt als onderdeel van een cryptocurrency-zwendelcampagne genaamd CryptoCore door Avast.
“Gebruikers moeten altijd toegang krijgen tot belangrijke pagina’s, zoals hun bankportaal of webmail, door de URL rechtstreeks in de webbrowser te typen in plaats van zoekmachines te gebruiken of op andere links te klikken”, aldus Michael Alcantara.
De ontwikkeling komt omdat cybercriminelen reclame maken voor nieuwe anti-botdiensten op het dark web die beweren de Safe Browsing-waarschuwingen van Google in de Chrome-webbrowser te omzeilen.
“Anti-botdiensten, zoals Otus Anti-Bot, Remove Red en Limitless Anti-Bot, zijn een hoeksteen geworden van complexe phishing-operaties”, aldus SlashNext in een recent rapport. “Deze diensten zijn bedoeld om te voorkomen dat beveiligingscrawlers phishing-pagina’s identificeren en op een blokkeerlijst zetten.”
“Door cyberbeveiligingsbots uit te filteren en phishingpagina’s voor scanners te verbergen, verlengen deze tools de levensduur van kwaadaardige sites, waardoor criminelen langer detectie kunnen omzeilen.”
Er zijn ook lopende malspam- en malvertisingcampagnes ontdekt die een actief evoluerende malware verspreiden, genaamd WARMCOOKIE (ook bekend als BadSpace), die vervolgens fungeert als doorgeefluik voor malware zoals CSharp-Streamer-RAT en Cobalt Strike.
“WarmCookie biedt een verscheidenheid aan nuttige functionaliteit voor kwaadwillenden, waaronder de inzet van payloads, bestandsmanipulatie, uitvoering van opdrachten, het verzamelen van screenshots en persistentie, waardoor het aantrekkelijk wordt om op systemen te gebruiken zodra de initiële toegang is verkregen om langdurige, aanhoudende toegang binnen gecompromitteerde netwerkomgevingen mogelijk te maken ”, aldus Cisco Talos.
Een analyse van de broncode suggereert dat de malware waarschijnlijk is ontwikkeld door dezelfde dreigingsactoren als Resident, een post-compromis-implantaat dat wordt ingezet als onderdeel van een inbraakset genaamd TA866 (ook bekend als Asylum Ambuscade), naast de informatiedief van Rhadamanthys. Deze campagnes hebben vooral de productiesector in het zonnetje gezet, op de voet gevolgd door de overheid en de financiële dienstverlening.
“Hoewel de langetermijntargeting in verband met de distributiecampagnes willekeurig lijkt, waren de meeste gevallen waarin vervolgladingen werden waargenomen in de Verenigde Staten, met extra gevallen verspreid over Canada, het Verenigd Koninkrijk, Duitsland, Italië, Oostenrijk en de Verenigde Staten. Nederland”, aldus Talos.