Netskope обнаружила, что мошенники используют сервис все чаще.
Последние 6 месяцев злоумышленники стали в десятки раз чаще использовать Cloudflare R2 для фишинговых кампаний. При этом возросло общее число облачных сервисов, из которых пользователь может загрузить вредоносные программы — до 167. В первую пятерку вошли Microsoft OneDrive, Squarespace, GitHub, SharePoint и Weebly.
«Цель большинства фишинговых кампаний — данные для входа в систему Microsoft, хотя есть и сайты, нацеленные на Adobe, Dropbox и другие облачные приложений», — заявил Ян Майкл, исследователь безопасности из Netskope.
Cloudflare R2, аналогичный Amazon Web Service S3, Google Cloud Storage и Azure Blob Storage — это популярное облачное хранилище. Netskope обнаружила, что хакеры эксплуатируют Cloudflare R2 не только для распространения поддельных страниц, но и для обхода систем безопасности. В этом помогает сервис Turnstile, заменяющий CAPTCHA-тест.
Таким образом алгоритм не дает онлайн-сканерам вроде urlscan.io добраться до настоящего мошеннического сайта, поскольку CAPTCHA заканчивается неудачей.
Для большей надежности вредоносный контент загружается только при определенных условиях.
«Вредоносному веб-сайту необходима метка времени после символа решетки, чтобы отобразить реальную фишинговую страницу», — пояснил Майкл.
Около месяца назад Netskope выявила еще одну кампанию, которая использовала поддельные страницы авторизации, размещенные в сервисе AWS Amplify. Целью этой кампании была кража банковских данных, учётных записей Microsoft 365 и данных платёжных карт пользователей с помощью бота в Telegram.
Источник: securitylab