Phishing con Cloudflare Workers: Phishing Trasparente e HTML Smuggling

Netskope Threat Labs sta monitorando diverse campagne di phishing che abusano di Cloudflare Workers. Queste campagne, probabilmente condotte da diversi attaccanti, utilizzano due tecniche molto differenti: HTML smuggling e phishing trasparente. Cloudflare Workers è una piattaforma di calcolo serverless che consente la distribuzione di applicazioni, inclusa la visualizzazione di pagine HTML per i visitatori. Questa piattaforma è disponibile anche per gli utenti del livello gratuito, il che la rende suscettibile all’abuso da parte degli attaccanti. Netskope Threat Labs ha osservato un aumento del traffico verso le pagine di phishing ospitate su Cloudflare Workers nel 2023, con un picco nel quarto trimestre dello stesso anno. Questo trend continua nel 2024, con un numero crescente di utenti mirati e di applicazioni maligne create.

HTML Smuggling

Una delle tecniche utilizzate dagli attaccanti è l’HTML smuggling, una tecnica di evasione delle difese che tenta di bypassare i controlli di rete assemblando i payload malevoli lato client. Gli attaccanti incorporano la pagina di phishing reale come un blob all’interno di una pagina web innocua. La pagina di phishing viene inizialmente codificata in base64 e poi ulteriormente codificata per offuscare il codice e evitare la rilevazione statica. Una volta che il blob è accessibile, viene creato un URL blob e simulato un clic su di esso per visualizzare la pagina di phishing nel browser della vittima.

Phishing Trasparente

Il phishing trasparente, noto anche come phishing con avversario-in-mezzo, è una forma relativamente nuova di phishing in cui l’attaccante crea un server che agisce da intermediario tra il servizio di autenticazione e la vittima. Questo metodo consente agli attaccanti di intercettare le credenziali di login e i codici di autenticazione a due fattori, raccogliendoli e inoltrandoli all’applicazione legittima. In questo modo, la vittima viene autenticata con successo mentre l’attaccante raccoglie credenziali, cookie e token. A differenza del phishing tradizionale, che copia la pagina di login, il phishing trasparente mostra il contenuto esatto della pagina di login legittima.

Raccomandazioni

Per proteggersi da queste minacce, Netskope Threat Labs raccomanda alle organizzazioni di rivedere le proprie politiche di sicurezza e di adottare misure come:

• Ispezionare tutto il traffico HTTP e HTTPS, inclusi i siti web e il traffico cloud, per prevenire l’accesso a siti web malevoli.
• Utilizzare tecnologie di isolamento del browser remoto (Remote Browser Isolation – RBI) per fornire protezione aggiuntiva quando è necessario visitare siti web che presentano un rischio elevato.
• Configurare una policy di filtraggio URL per bloccare siti di phishing e truffe noti e una policy di protezione dalle minacce per ispezionare tutti i contenuti web utilizzando una combinazione di firme, intelligence sulle minacce e apprendimento automatico.

L’abuso di Cloudflare Workers da parte degli attaccanti per ospitare pagine di phishing è una tendenza preoccupante che continua a crescere. Netskope Threat Labs continuerà a monitorare il traffico malevolo verso le applicazioni Cloudflare Worker e a segnalare i contenuti malevoli a Cloudflare per la rimozione.