Kimlik avı kampanyaları Cloudflare çalışanlarını iki şekilde kötüye kullanıyor; bunlardan biri, Azorult kötü amaçlı yazılımına benzer şekilde HTML kaçakçılığıyla gizlenen kötü amaçlı içeriğin enjekte edilmesi.
Diğeri ise Asya, Kuzey Amerika ve Güney Avrupa’daki, özellikle teknoloji, finans ve bankacılık sektörlerindeki kullanıcıları hedef alan Microsoft, Gmail ve Yahoo Mail gibi hizmetlere yönelik oturum açma bilgilerini çalmak için Cloudflare Workers’ı şeffaf bir proxy olarak kullanıyor.
Saldırıları barındıran alan adları ve uygulamalardaki artış, saldırganların tespit ve kaldırma işlemlerinden kaçmaya yönelik sürekli çabalarını gösteriyor; bu da, ücretsiz bulut hizmetlerinin kimlik avı amacıyla kötüye kullanılması yönündeki yaygın uygulamayı ve popüler bulut platformlarını hedeflemenin etkinliğini vurguluyor.
Saldırganlar, uygulamaları dağıtmak için ücretsiz bir sunucusuz platform olan Cloudflare Workers’ı, kimlik avı sitelerini barındırmak için kötüye kullanıyor; bu da onların,workers.dev alt etki alanı altında özel alan adlarıyla kötü amaçlı uygulamalar oluşturmalarına ve bunları serbestçe dağıtmalarına olanak tanıyor.
All-in-One Cybersecurity Platform for MSPs to provide full breach protection with a single tool, Watch a Full Demo
Genel trafik hacmi sabitlenmiş gibi görünse de Cloudflare Workers’ta barındırılan farklı kötü amaçlı uygulamaların sayısı sürekli olarak artıyor ve bu da saldırganların bu tekniği benimseyen endişe verici bir eğilime işaret ediyor.
Saldırganlar, ağ savunmalarını aşmak ve kimlik avı sayfaları sunmak için Cloudflare Çalışanlarıyla HTML kaçakçılığı yapıyor.
Kötü amaçlı kod, görünüşte zararsız bir web sayfasında base64 ile kodlanmış bir blob olarak gizlenir ve birden fazla kodlamayla daha da gizlenir.
createObjectURL() yöntemi, gizli kimlik avı sayfasını uç nokta içinde erişilebilir hale getirir ve kimlik avı sayfasını kurbanın tarayıcısında görüntülemek için blob URL’sinde tıklama simüle edilir.
Geleneksel kimlik avı sınırlamalarını aşan yeni bir teknik olan şeffaf kimlik avını kullanırlar ve saldırgan, kurban ile meşru giriş sayfası arasında aracı görevi gören bir sunucu (genellikle Cloudflare Workers’ta barındırılan) oluştururken çalışır.
Kurban gerçek oturum açma sayfasını görür ancak farkında olmadan kimlik bilgilerini (çok faktörlü kodlar dahil) saldırganın sunucusuna gönderir ve bu sunucu da bunları gerçek hizmete iletir.
Netskope’taki araştırmacılar bu saldırıları analiz etti ve bunların değiştirilmiş açık kaynaklı MITM araç kitleri üzerine oluşturulduğunu ve kurbanların isteklerini engellemek için Cloudflare Çalışanlarının “Merhaba Dünya” şablonunu kullandıklarını buldu.
Saldırganın uygulaması şeffaf bir proxy görevi görerek önce kurbanın isteğini meşru siteye iletir ve yanıtı yakalar.
Daha sonra, mağdura yanıtı göstermeden önce meşru sitenin alan adını kendi alan adıyla değiştirir, bu da kurbanı, saldırganın uygulamasına kimlik bilgilerini girmesi konusunda aldatır.
Oturum açıldıktan sonra saldırganın uygulaması meşru sitenin yanıtındaki belirteçleri ve çerezleri çalar ve kurbanın sonraki faaliyetlerine ilişkin görünürlük kazanır.
Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.