El uso de Cloudflare R2 por parte de actores de amenazas para alojar páginas de phishing ha experimentado un aumento de 61 veces en los últimos seis meses. "La mayorÃa de las campañas de phishing tienen como objetivo las credenciales de inicio de sesión de Microsoft, aunque también hay algunas páginas dirigidas a Adobe, Dropbox y otras aplicaciones en la nube", dijo el investigador de seguridad de Netskope, Jan Michael.
Cloudflare R2, análogo a Amazon Web Service S3, Google Cloud Storage y Azure Blob Storage, es un servicio de almacenamiento de datos para la nube. Este desarrollo se produce a medida que el número total de aplicaciones en la nube desde las cuales se originan descargas de malware ha aumentado a 167, con Microsoft OneDrive, Squarespace, GitHub, SharePoint y Weebly ocupando los cinco primeros lugares.
Las campañas de phishing identificadas por Netskope no solo abusan de Cloudflare R2 para distribuir páginas de phishing estáticas, sino que también aprovechan la oferta de Turnstile de la empresa, un reemplazo de CAPTCHA, para colocar dichas páginas detrás de barreras antirrobot para evadir la detección.
Al hacerlo, se impide que los escáneres en lÃnea como urlscan.io lleguen al sitio de phishing real, ya que la prueba de CAPTCHA resulta en un fallo. Como una capa adicional de evasión de detección, los sitios maliciosos están diseñados para cargar el contenido solo cuando se cumplen ciertas condiciones.
"El sitio web malicioso requiere que un sitio de referencia incluya una marca de tiempo después de un sÃmbolo de almohadilla en la URL para mostrar la página de phishing real", dijo Michael. "Por otro lado, el sitio de referencia requiere que se le pase un sitio de phishing como parámetro". En caso de que no se pase ningún parámetro de URL al sitio de referencia, los visitantes son redirigidos a Google.
Este desarrollo se produce un mes después de que la empresa de ciberseguridad revelara detalles de una campaña de phishing que se encontró alojando sus páginas de inicio de sesión falsas en AWS Amplify para robar las credenciales bancarias y de Microsoft 365 de los usuarios, junto con los detalles de pago con tarjeta a través de la API de Bot de Telegram.
¿Quieres saber más?