Cybersecurity-Forscher von Netskope Threat Labs warnen vor Phishing-Kampagnen, die Cloudflare Workers missbrauchen, um Phishing-Seiten bereitzustellen, die Benutzerdaten von Microsoft, Gmail, Yahoo! und cPanel Webmail erbeuten. Cloudflare Workers ist eine serverlose Plattform, die von Angreifern missbraucht wird, um Phishing-Seiten bereitzustellen. Diese Phishing-Kampagnen zielen hauptsächlich auf die Bereiche Technologie, Finanzdienstleistungen und Banken ab. Diese Methode, bekannt als Adversary-in-the-Middle (AitM) Phishing, verwendet die Cloudflare Workers als Reverse-Proxy-Server für eine legitime Login-Seite, um den Datenverkehr zwischen dem Opfer und der Login-Seite abzufangen und Anmeldeinformationen, Cookies und Tokens zu erfassen.
Die Phishing-Kampagnen nutzen ausserdem HTML Smuggling. Diese Technik umgeht Netzwerk-Kontrollen, indem die bösartigen Nutzlasten clientseitig zusammengesetzt werden. Die Phishing-Seite wird als Blob innerhalb einer legitimen Webseite eingebettet, mehrfach codiert und durch einen simulierten Klick aktiviert. Zusätzlich werden Techniken wie DNS-Tunneling verwendet, um die Interaktion der Opfer mit Phishing-E-Mails zu verfolgen und Netzwerke nach Schwachstellen zu scannen.
Laut Netskope Threat Labs sollten sollten Nutzer verdächtige URL-Muster wie *.workers.dev überprüfen und wichtige Seiten direkt in die Browserleiste eingeben. Organisationen sollten ihre Sicherheitsrichtlinien überprüfen, um sich gegen solche Phishing-Seiten zu schützen, z.B. durch die Inspektion aller HTTP- und HTTPS-Traffic und die Nutzung von Remote Browser Isolation (RBI) Technologien.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: