Netskope обнаружила, что мошенники используют сервис все чаще.

Последние 6 месяцев злоумышленники стали в десятки раз чаще использовать Cloudflare R2 для фишинговых кампаний. При этом возросло общее число облачных сервисов, из которых пользователь может загрузить вредоносные программы — до 167. В первую пятерку вошли Microsoft OneDrive, Squarespace, GitHub, SharePoint и Weebly.

«Цель большинства фишинговых кампаний — данные для входа в систему Microsoft, хотя есть и сайты, нацеленные на Adobe, Dropbox и другие облачные приложений», — заявил Ян Майкл, исследователь безопасности из Netskope.

Cloudflare R2, аналогичный Amazon Web Service S3, Google Cloud Storage и Azure Blob Storage — это популярное облачное хранилище. Netskope обнаружила, что хакеры эксплуатируют Cloudflare R2 не только для распространения поддельных страниц, но и для обхода систем безопасности. В этом помогает сервис Turnstile, заменяющий CAPTCHA-тест.

Таким образом алгоритм не дает онлайн-сканерам вроде urlscan.io добраться до настоящего мошеннического сайта, поскольку CAPTCHA заканчивается неудачей.

Для большей надежности вредоносный контент загружается только при определенных условиях.

«Вредоносному веб-сайту необходима метка времени после символа решетки, чтобы отобразить реальную фишинговую страницу», — пояснил Майкл.

Около месяца назад Netskope выявила еще одну кампанию, которая использовала поддельные страницы авторизации, размещенные в сервисе AWS Amplify. Целью этой кампании была кража банковских данных, учётных записей Microsoft 365 и данных платёжных карт пользователей с помощью бота в Telegram.

Источник: securitylab