Phishing Trends: Cloudflare Workers und HTML Smuggling
Cybersecurity-Forscher von Netskope Threat Labs warnen vor Phishing-Kampagnen, die Cloudflare Workers missbrauchen, um Phishing-Seiten bereitzustellen, die Benutzerdaten von Microsoft, Gmail, Yahoo! und cPanel Webmail erbeuten. Cloudflare Workers ist eine serverlose Plattform, die von Angreifern missbraucht wird, um Phishing-Seiten bereitzustellen. Diese Phishing-Kampagnen zielen hauptsächlich auf die Bereiche Technologie, Finanzdienstleistungen und Banken ab. Diese Methode, bekannt als Adversary-in-the-Middle (AitM) Phishing, verwendet die Cloudflare Workers als Reverse-Proxy-Server für eine legitime Login-Seite, um den Datenverkehr zwischen dem Opfer und der Login-Seite abzufangen und Anmeldeinformationen, Cookies und Tokens zu erfassen.
Die Phishing-Kampagnen nutzen ausserdem HTML Smuggling. Diese Technik umgeht Netzwerk-Kontrollen, indem die bösartigen Nutzlasten clientseitig zusammengesetzt werden. Die Phishing-Seite wird als Blob innerhalb einer legitimen Webseite eingebettet, mehrfach codiert und durch einen simulierten Klick aktiviert. Zusätzlich werden Techniken wie DNS-Tunneling verwendet, um die Interaktion der Opfer mit Phishing-E-Mails zu verfolgen und Netzwerke nach Schwachstellen zu scannen.
Laut Netskope Threat Labs sollten sollten Nutzer verdächtige URL-Muster wie *.workers.dev überprüfen und wichtige Seiten direkt in die Browserleiste eingeben. Organisationen sollten ihre Sicherheitsrichtlinien überprüfen, um sich gegen solche Phishing-Seiten zu schützen, z.B. durch die Inspektion aller HTTP- und HTTPS-Traffic und die Nutzung von Remote Browser Isolation (RBI) Technologien.