سوء استفاده هکرها از سرویس ابری ذخیرهسازی Cloudflare R2 برای میزبانی صفحات فیشینگ در ۶ ماه اخیر ۶۱ برابر افزایش داشته است.
به گزارش The Hacker News و به نقل از Jan Michael، پژوهشگر امنیتی شرکت امنیت سایبری Netskope، اغلب کمپینهای فیشینگ، اعتبارنامههای ورود به حسابهای کاربری مایکروسافت و بعضی دیگر از این صفحات نیز ادوبی، دراپباکس و دیگر پلتفرمهای ابری را هدف میگیرند.
سرویس Cloudflare R2 مثل Amazon Web Service S3، Google Cloud Storage, و Azure Blob Storage نوعی فضای ذخیرهسازی ابری است.
این در حالی است که تعداد اپلیکیشنهای ابری منشاء دانلود بدافزارها به ۱۶۷ افزایش یافته است که در بین این اپلیکیشنها، مایکروسافت وان داریو، اسکوئیراسپیس (square space)، گیتهاب، شیرپوینت و ویبلی (Weebly) بیشترین منشاء دانلود بدافزارها بودهاند.
در این کمپین فیشینگ نه تنها از Cloudflare R2 برای توزیع صفحات فیشینگ استاتیک سوء استفاده میشود، بلکه هکر هم از سرویس Turnstile این شرکت نیز که نوعی جایگزین CAPTCHA محسوب میشود، برای قرار دادن صفحات فیشینگ پیش سدهای ضد بات (anti-bot) برای فرار از شناسایی شدن استفاده میکنند.
Jan Michael، ادامه میدهد که «وبسایتهای متخاصم برای اضافه کردن برچسب زمانی (timestamp) بعد از نماد هش در URL به یک وبسایت مرجع نیاز دارند تا صفحه فیشینگ واقعی را نمایش دهند. از سوی دیگر، سایت مرجع نیاز دارد که سایت فیشینگ به صورت یک پارامتر از روی آن عبور کند».
در صورتی که URL از روی سایت مرجع عبور نکند، بازدیدکنندگان به صفحه www.google[.]com هدایت میشوند.
این در حالی است که یک ماه پیش، شرکت امنیت سایبری Netskope، جزئیات یک کمیپن فیشینگ را اعلام کرد که مشخص شد صفحات ورود فیشینگ آن روی AWS Amplify قرار داشتند تا اطلاعات بانکی کاربران و اعتبارنامههای مایکروسافت ۳۶۵ آنها را همراه با جزئیات پرداختهای کارتهای اعتباری از طریق یک ربات تلگرامی، به سرقت ببرند.