Phishing Trends: Cloudflare Workers und HTML Smuggling

Cybersecurity-Forscher von Netskope Threat Labs warnen vor Phishing-Kampagnen, die Cloudflare Workers missbrauchen, um Phishing-Seiten bereitzustellen, die Benutzerdaten von Microsoft, Gmail, Yahoo! und cPanel Webmail erbeuten. Cloudflare Workers ist eine serverlose Plattform, die von Angreifern missbraucht wird, um Phishing-Seiten bereitzustellen. Diese Phishing-Kampagnen zielen hauptsächlich auf die Bereiche Technologie, Finanzdienstleistungen und Banken ab. Diese Methode, bekannt als Adversary-in-the-Middle (AitM) Phishing, verwendet die Cloudflare Workers als Reverse-Proxy-Server für eine legitime Login-Seite, um den Datenverkehr zwischen dem Opfer und der Login-Seite abzufangen und Anmeldeinformationen, Cookies und Tokens zu erfassen.

Die Phishing-Kampagnen nutzen ausserdem HTML Smuggling. Diese Technik umgeht Netzwerk-Kontrollen, indem die bösartigen Nutzlasten clientseitig zusammengesetzt werden. Die Phishing-Seite wird als Blob innerhalb einer legitimen Webseite eingebettet, mehrfach codiert und durch einen simulierten Klick aktiviert. Zusätzlich werden Techniken wie DNS-Tunneling verwendet, um die Interaktion der Opfer mit Phishing-E-Mails zu verfolgen und Netzwerke nach Schwachstellen zu scannen.

Laut Netskope Threat Labs sollten sollten Nutzer verdächtige URL-Muster wie *.workers.dev überprüfen und wichtige Seiten direkt in die Browserleiste eingeben. Organisationen sollten ihre Sicherheitsrichtlinien überprüfen, um sich gegen solche Phishing-Seiten zu schützen, z.B. durch die Inspektion aller HTTP- und HTTPS-Traffic und die Nutzung von Remote Browser Isolation (RBI) Technologien.

Related Posts

Sicherheitslücke in GNOME Remote Desktop ermöglicht ungewollten Zugriff

Sicherheitslücke in GNOME Remote Desktop ermöglicht ungewollten Zugriff Am 23. Mai 2024 wurde eine kritische Sicherheitslücke in GNOME Remote Desktop entdeckt und unter USN-6785-1 veröffentlicht. Diese Schwachstelle ermöglicht Angreifern den ungewollten Zugriff auf sensible Informationen oder Remote-Desktop-Verbindungen. Die betroffenen Versionen umfassen alle Ausgaben vor 14.187.4.

Read More

D-Link D-View 8: Hardcoded Crypto-Keys und RCE Lücken gefunden

Am 14. Mai 2024 wurden mehrere schwerwiegende Sicherheitslücken in der Netzwerkmanagementplattform D-Link D-View 8.0 veröffentlicht. Diese Schwachstellen, die ursprünglich am 24. August 2023 von TrendMicro’s Zero Day Initiative (ZDI) gemeldet wurden, betreffen die Version 2.0.1.89 und frühere Versionen. Die Schwachstellen ermöglichen es Angreifern, beliebigen Code auszuführen oder Authentifizierungsmechanismen zu umgehen, was schwerwiegende Auswirkungen auf die Systemsicherheit hat. Die folgenden CVE-Nummern und Beschreibungen geben detaillierte Informationen zu den einzelnen Schwachstellen:

Read More

RCE Schwachstellen in Adobe Acrobat und Reader gefunden

Adobe hat am 14. Mai 2024 ein bedeutendes Sicherheitsupdate für Adobe Acrobat und Reader für Windows und macOS veröffentlicht. Dieses Update behebt mehrere kritische Schwachstellen, die es Angreifern ermöglichen könnten, beliebigen Code auszuführen. Nutzer sollten ihre Installationen dringend aktualisieren, um die Risiken zu minimieren. Da .pdf Anhänge besonders in Phishing Kampagnen beliebt sind, ist erhöhte Vorsicht beim Öffnen von Email Anhängen geboten

Read More