Cybercriminals Abusing Cloudflare R2 for Hosting Phishing Pages, Experts Warn
2023/08/15 TheHackerNews — Cloudflare R2 でフィッシング・ページをホスティングする脅威アクターが、これまでの6ヶ月間で 61倍に増加しているという。Netskope のセキュリティ研究者である Jan Michael は、「それらのフィッシング・キャンペーンの大半は、Microsoft のログイン認証情報をターゲットにしているが、Adobe や Dropbox などのクラウド・アプリケーションをターゲットにしたページもありる」と述べている。Cloudflare R2 は、Amazon Web Service S3/Google Cloud Storage/Azure Blob Storage などに似た、クラウド・データ・ストレージサービスである。
この調査は、マルウェアのダウンロード元となるクラウド・アプリの総数が、167 件に増加したことを受けて実施されたが、その結果として、Microsoft OneDrive/Squarespace/GitHub/SharePoint/Weebly が Top-5 を占めることが判明した。
Netskope が特定したフィッシング・キャンペーンは、Cloudflare R2 を悪用して静的なフィッシング・ページを配信しているだけではなく、CAPTCHA 代替機能である同社の Turnstile を活用したページを、アンチボット・バリアの背後に配置して検出を回避している。
そうすることで、CAPTCHA のテストが失敗に終わるため、フィッシング・サイトを検出するための、urlscan.io のようなオンライン・スキャナーの到達が阻害される。
これらの悪意のサイトには、特定の条件が満たされた場合にのみコンテンツをロードするための、検知を回避する追加のレイヤーが追加されている。
Jan Michael は、「この悪意の Web サイトでは、参照サイトが実際のフィッシング・ページを表示するために、URL のハッシュ記号の後にタイムスタンプを含めることを要求する。その一方で、参照サイトにはパラメータとしてフィッシング・サイトを渡す必要がある。そして、URL パラメータが参照サイトに渡されない場合には、訪問者はwww.google[.]com へとリダイレクトされる」と指摘している。
先日には、AWS Amplify で偽のログインページをホスティングし、Telegram の Bot API 経由で、ユーザーの銀行口座/Microsoft 365の認証情報/カード決済情報を盗むフィッシング・キャンペーンの詳細を公開されていた。それから、1カ月後に、この展開が発見された。
フィッシング・ページを Cloudflare R2 にホスティングする脅威アクターが急増とのことであり、そこから Azure などのクラウドを狙っているとのことです。このブログ内を、Phishing で検索してみると、さまざまなクラウドの名前が登場してきます。そこに、Cloudflare も仲間入りとなりました。
IoT OT Security News 
You must be logged in to post a comment.