Cybersicherheitsforscher warnen vor Phishing-Kampagnen, die Cloudflare Workers nutzen, um gefälschte Anmeldeseiten zu hosten und so Nutzerdaten von Microsoft, Gmail, Yahoo! und cPanel Webmail zu erbeuten. Diese Angriffe, die als transparentes Phishing oder Adversary-in-the-Middle (AitM) Phishing bekannt sind, verwenden Cloudflare Workers als Reverse-Proxy-Server für legitime Anmeldeseiten. Dabei wird der Datenverkehr zwischen dem Opfer und der Anmeldeseite abgefangen, um Anmeldeinformationen, Cookies und Tokens abzugreifen, erläutert Jan Michael Alcantara von Netskope.

Geografische und sektorale Ziele

In den letzten 30 Tagen zielten die meisten auf Cloudflare Workers basierenden Phishing-Kampagnen auf Opfer in Asien, Nordamerika und Südeuropa ab, wobei die Technologie-, Finanzdienstleistungs- und Bankensektoren besonders betroffen waren. Ein Anstieg der Aktivitäten wurde erstmals im zweiten Quartal 2023 registriert, wobei die Anzahl der unterschiedlichen Domains von etwas über 1.000 im vierten Quartal 2023 auf fast 1.300 im ersten Quartal 2024 anstieg.

HTML-Schmuggel als fortschrittliche Taktik

Eine weitere ausgeklügelte Strategie, die von den Angreifern angewendet wird, ist das sogenannte HTML-Schmuggeln. Dabei wird bösartiges JavaScript verwendet, um die schädliche Last auf der Seite des Clients zusammenzusetzen, was die Umgehung von Sicherheitsmaßnahmen ermöglicht. Diese Technik illustriert, wie Bedrohungsakteure immer raffiniertere Methoden zur Durchführung und Umsetzung von Angriffen auf gezielte Systeme entwickeln.

Die gefälschten Anmeldeseiten fordern die Opfer auf, sich mit Microsoft Outlook oder Office 365 (jetzt Microsoft 365) anzumelden, um ein angebliches PDF-Dokument zu betrachten. Folgen die Nutzer dieser Aufforderung, werden ihre Anmeldeinformationen und Multi-Faktor-Authentifizierungs-Codes über die auf Cloudflare Workers gehosteten Fake-Seiten abgegriffen.

GenAI und neue Angriffsmethoden

Neben traditionellen Angriffstechniken finden Bedrohungsakteure kontinuierlich neue Wege, Sicherheitssysteme zu überlisten und Malware zu verbreiten, indem sie generative Künstliche Intelligenz (GenAI) verwenden, um effektive Phishing-E-Mails zu erstellen und komprimierte Dateianhänge mit übermäßig großen Malware-Lasten (über 100 MB) zu liefern. Diese Methode zielt darauf ab, die Analyse zu umgehen, da das Scannen größerer Dateien mehr Zeit und Ressourcen beansprucht, was die Gesamtleistung des Systems während des Scanvorgangs verlangsamen kann.

DNS-Tunneling in Phishing-Kampagnen

Weitere Kampagnen wie TrkCdn, SpamTracker und SecShow nutzen DNS-Tunneling, um zu überwachen, wann ihre Ziele Phishing-E-Mails öffnen und auf bösartige Links klicken, um Spam zu verfolgen sowie Netzwerke der Opfer auf potenzielle Schwachstellen zu scannen. Das DNS-Tunneling in der TrkCdn-Kampagne dient dazu, die Interaktion eines Opfers mit seinem E-Mail-Inhalt zu verfolgen.

Die Entdeckungen unterstreichen die Notwendigkeit robuster Sicherheitsmaßnahmen, ethischer Richtlinien und Überwachungsmechanismen angesichts der adversativen Nutzung von GenAI für Exploit-Entwicklung und Deepfake-Generierung durch verschiedene Bedrohungsakteure.