El uso de Cloudflare R2 por parte de los actores de amenazas para alojar páginas de phishing ha sido testigo de un aumento de 61 veces en los últimos seis meses.
«La mayoría de las campañas de phishing se dirigen a las credenciales de inicio de sesión de Microsoft, aunque hay algunas páginas dirigidas a Adobe, Dropbox y otras aplicaciones en la nube», dijo el investigador de seguridad de Netskope, Jan Michael .
Cloudflare R2 , análogo a Amazon Web Service S3, Google Cloud Storage y Azure Blob Storage, es un servicio de almacenamiento de datos para la nube.
El desarrollo se produce cuando la cantidad total de aplicaciones en la nube desde las que se originan las descargas de malware ha aumentado a 167 , con Microsoft OneDrive, Squarespace, GitHub, SharePoint y Weebly ocupando los cinco primeros lugares.
Las campañas de phishing identificadas por Netskope no solo abusan de Cloudflare R2 para distribuir páginas de phishing estáticas, sino que también aprovechan la oferta Turnstile de la empresa , un reemplazo de CAPTCHA, para colocar dichas páginas detrás de barreras anti-bot para evadir la detección.
Al hacerlo, evita que los escáneres en línea como urlscan.io lleguen al sitio de phishing real, ya que la prueba CAPTCHA falla.
Como una capa adicional de evasión de detección, los sitios maliciosos están diseñados para cargar el contenido solo cuando se cumplen ciertas condiciones.
«El sitio web malicioso requiere que un sitio de referencia incluya una marca de tiempo después de un símbolo hash en la URL para mostrar la página de phishing real», dijo Michael. «Por otro lado, el sitio de referencia requiere que se le transmita un sitio de phishing como parámetro».
En caso de que no se pase ningún parámetro de URL al sitio de referencia, los visitantes son redirigidos a www.google[.]com.
El desarrollo se produce un mes después de que la compañía de ciberseguridad revelara los detalles de una campaña de phishing que se descubrió alojando sus páginas de inicio de sesión falsas en AWS Amplify para robar las credenciales bancarias y de Microsoft 365 de los usuarios, junto con los detalles de pago con tarjeta a través de la API Bot de Telegram.
Fuente y redacción: thehackernews.com
