网络钓鱼策略中的新技巧：Cloudflare Workers、HTML Smuggling、GenAI

网络安全研究人员警告称，网络钓鱼活动滥用Cloudflare Workers来为网络钓鱼网站提供服务，这些网站用于获取与 Microsoft、Gmail、Yahoo! 和 cPanel Webmail 相关的用户凭据。

Netskope 研究员 Jan Michael Alcantara 在一份报告中表示，这种攻击方法称为透明网络钓鱼或中间人 ( AitM ) 网络钓鱼，“使用 Cloudflare Workers 充当合法登录页面的反向代理服务器，拦截受害者与登录页面之间的流量以获取凭证、cookie 和令牌” 。

过去 30 天内，Cloudflare Workers 上托管的大多数网络钓鱼活动都针对亚洲、北美和南欧的受害者，涉及科技、金融服务和银行业。

该网络安全公司表示，Cloudflare Workers 托管的网络钓鱼页面的流量增加是在 2023 年第二季度首次出现的，并指出它观察到不同域名的总数激增，从 2023 年第四季度的 1,000 多个跃升至 2024 年第一季度的近 1,300 个。

网络钓鱼活动使用一种称为HTML 走私的技术，该技术涉及使用恶意 JavaScript 在客户端组装恶意负载以逃避安全保护。它还凸显了威胁行为者用于部署和执行针对目标系统的攻击的复杂策略。

本例的不同之处在于，恶意负载是一个钓鱼页面，它会被重建并在网络浏览器上显示给用户

钓鱼页面则敦促受害者使用 Microsoft Outlook 或 Office 365（现为 Microsoft 365）登录以查看所谓的 PDF 文档。如果他们照做，托管在 Cloudflare Workers 上的虚假登录页面将被用来窃取他们的凭证和多因素身份验证 (MFA) 代码。

Michael Alcantara 表示：“整个钓鱼页面是使用开源 Cloudflare AitM 工具包的修改版本创建的。一旦受害者访问攻击者的登录页面，攻击者就会收集其 Web 请求元数据。”

“一旦受害者输入他们的凭证，他们就会登录到合法网站，攻击者将在响应中收集令牌和 cookie。此外，攻击者还可以看到受害者登录后执行的任何其他活动。”

HTML 走私作为一种有效载荷传递机制，越来越受到希望绕过现代防御措施的威胁行为者的青睐，这使得他们可以在不引起任何警告的情况下提供欺诈性 HTML 页面和其他恶意软件。

Huntress Labs 重点介绍的一个案例是，伪造的 HTML 文件用于注入从参与者控制的域中检索到的合法 Microsoft 身份验证门户的 iframe。

安全研究员 Matt Kiely表示：“这具有绕过 MFA 的中间人透明代理网络钓鱼攻击的特征，但使用了带有注入 iframe 的 HTML 走私负载，而不是简单的链接。”

另一个引起关注的活动涉及以发票为主题的网络钓鱼电子邮件，其中包含 HTML 附件，这些附件伪装成 PDF 查看器登录页面以窃取用户的电子邮件帐户凭据，然后将他们重定向到托管所谓“付款证明”的 URL。

近年来，基于电子邮件的网络钓鱼攻击形式多种多样，包括利用Greatness等网络钓鱼即服务 ( PhaaS ) 工具包窃取 Microsoft 365 登录凭据并使用 AitM 技术绕过 MFA，攻击者在 PDF 文件中加入二维码并使用 CAPTCHA 检查，然后将受害者重定向到虚假登录页面。

位于美国、加拿大、德国、韩国和挪威的金融服务、制造业、能源/公用事业、零售和咨询实体已成为 Greatness PhaaS 的主要目标行业。

Trellix 研究人员 Daksh Kapur、Vihar Shah 和 Pooja Khyadgi在上周发表的分析报告中表示：“这些服务提供的先进功能对攻击者很有吸引力，可以节省他们花在开发和规避策略上的时间。”

与此同时，威胁行为者不断寻找新方法来超越安全系统并传播恶意软件，他们利用生成人工智能 (GenAI) 来制作有效的网络钓鱼电子邮件并传递包含过大恶意软件负载（大小超过 100 MB）的压缩文件附件，以期逃避分析。

该网络安全公司表示： “扫描较大的文件需要更多时间和资源，这会降低扫描过程中的整体系统性能。” “为了尽量减少内存占用，一些防病毒引擎可能会设置扫描的大小限制，导致跳过过大的文件。”

它补充说，文件膨胀方法已被观察到是一种传播更多恶意软件的攻击策略，例如 Agent Tesla、AsyncRAT、Quasar RAT 和 Remcos RAT。

此外，各种威胁行为者对抗性地使用 GenAI进行漏洞开发和深度伪造生成，凸显了强有力的安全措施、道德准则和监督机制的必要性。

这些绕过传统检测机制的创新也扩展到 TrkCdn、SpamTracker 和 SecShow 等活动，这些活动利用域名系统 (DNS) 隧道来监视目标何时打开网络钓鱼电子邮件和点击恶意链接、跟踪垃圾邮件传递，以及扫描受害者网络以查找潜在漏洞。

Palo Alto Networks Unit 42 在本月早些时候发布的一份报告中表示： “TrkCdn 活动中使用的 DNS 隧道技术旨在追踪受害者与其电子邮件内容的交互”，并补充说攻击者在电子邮件中嵌入内容，当打开时，会对攻击者控制的子域执行 DNS 查询。

“[SpamTracker] 利用电子邮件和网站链接发送垃圾邮件和钓鱼内容。该活动的目的是引诱受害者点击威胁行为者在子域中隐藏其负载的链接。”

这一发现还出现在恶意广告活动激增的背景下，这些恶意广告活动利用搜索引擎结果中流行软件的恶意广告来诱骗用户安装信息窃取程序和远程访问木马，例如 SectopRAT（又名 ArechClient）。

除此之外，我们还发现一些不法分子设立了假冒页面，模仿巴克莱等金融机构，以提供实时聊天支持的幌子提供 AnyDesk 等合法的远程桌面软件，从而授予他们远程访问系统的权限。

Malwarebytes 的 Jerome Segura 表示：“在赞助结果方面，比以往任何时候都需要格外谨慎。通常，没有简单的方法可以确定广告是否合法。犯罪分子能够创建恶意安装程序，这些安装程序可以逃避检测并通过一系列步骤导致入侵。”