Os domínios 'pages.dev' e 'workers.dev' da Cloudflare, usados para implantar páginas web e facilitar o computing serverless, estão sendo cada vez mais abusados por criminosos cibernéticos para phishing e outras atividades maliciosas.
De acordo com a empresa de cibersegurança Fortra, o abuso desses domínios aumentou entre 100% e 250% em comparação com 2023.
Os pesquisadores acreditam que o uso desses domínios visa melhorar a legitimidade e eficácia dessas campanhas maliciosas, aproveitando a marca confiável da Cloudflare, a confiabilidade do serviço, os baixos custos de utilização e as opções de reverse proxying que complicam a detecção.
O Cloudflare Pages é uma plataforma projetada para desenvolvedores front-end construírem, implantarem e hospedarem websites rápidos e escaláveis diretamente na rede global de Content Delivery Network (CDN) da Cloudflare.
Ele oferece hospedagem de site estático, suporta uma gama de frameworks modernos de implantação de aplicativos web e oferece criptografia SSL/TLS por padrão, assegurando conexões HTTPS sem necessidade de configuração adicional.
A Fortra relata que o Cloudflare Pages tornou-se uma ferramenta para criminosos cibernéticos que o abusam hospedando páginas intermediárias de phishing que redirecionam vítimas para sites maliciosos, como páginas falsas de login do Microsoft Office365.
As vítimas são levadas até lá por meio de links embutidos em PDFs fraudulentos ou corpos de e-mail de phishing, os quais não são marcados pelos produtos de segurança graças à reputação da Cloudflare.
"A equipe SEA da Fortra observou um aumento de 198% nos ataques de phishing no Cloudflare Pages, subindo de 460 incidentes em 2023 para 1.370 incidentes até meados de outubro de 2024", relata a Fortra.
"Com uma média de aproximadamente 137 incidentes por mês, o volume total de ataques deve ultrapassar 1.600 até o final do ano, representando um aumento projetado ano a ano de 257%."
A Fortra também observa que os atores de ameaças usam a tática de "bccfoldering" para esconder a escala de suas campanhas de distribuição de e-mail.
"Ao contrário do campo cc, que exibe os destinatários, o bccfoldering esconde os destinatários ao adicioná-los apenas ao envelope de e-mail, não aos cabeçalhos", explica a Fortra.
"Isso torna os destinatários indetectáveis a menos que o servidor esteja configurado para revelá-los.
Essa tática é usada pelo adversário para ocultar a escala da campanha de phishing, pois destinatários ocultos podem dificultar a detecção do tamanho da campanha de phishing."
O Cloudflare Workers é uma plataforma de computing serverless que permite aos desenvolvedores escrever e implantar aplicativos leves e scripts diretamente na rede de borda da Cloudflare.
Seus usos legítimos incluem implantação de API, otimização de conteúdo, implementação de firewall e CAPTCHA personalizados, automação de tarefas e a criação de microservices.
A Fortra também viu um aumento no abuso dos Workers, inclusive para realização de ataques Distributed Denial of Service (DDoS), implantação de sites de phishing, injeção de scripts prejudiciais no navegador do alvo, e força bruta em senhas de contas.
Em um caso destacado pelos pesquisadores, o Cloudflare Workers é abusado para hospedar uma etapa de verificação humana em um processo de phishing para adicionar legitimidade.
"Testemunhamos um aumento de 104% nos ataques de phishing nesta plataforma [Cloudflare Workers], subindo de 2.447 incidentes em 2023 para 4.999 incidentes até o momento", lê-se no relatório da Fortra.
"Com uma média atual de 499 incidentes por mês, o volume total deve chegar a quase 6.000 até o final do ano, refletindo um aumento projetado de 145% em comparação com o ano anterior."
Os usuários podem se defender contra o phishing que abusa de serviços legítimos verificando a autenticidade das URLs em que estão quando solicitados a inserir informações sensíveis.
Por fim, ativar etapas extras de segurança de conta, como a autenticação de dois fatores, pode ajudar a prevenir tomadas de controle mesmo quando as credenciais estão comprometidas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...