В сфере кибербезопасности зафиксирована новая масштабная фишинг-кампания, использующая инфраструктуру Cloudflare для атаки на учетные записи Microsoft. Злоумышленники размещают поддельные страницы входа на доменах pages.dev, что позволяет им обходить традиционные средства защиты и скрывать реальное местоположение серверов.
Описание
Атака начинается с целевых электронных писем, тематика которых связана с коммерческими предложениями, счетами-фактурами или документами, требующими подписи. Сообщения содержат URL-адреса, которые перенаправляют пользователей на поддельные сайты OpenGov. При попытке скачать якобы необходимый файл жертвам предлагается сначала ввести свои учетные данные, которые немедленно перехватываются злоумышленленниками.
Особенностью данной кампании стало использование captcha-проверок на фишинговых страницах. Этот прием позволяет злоумышленникам не только создавать видимость легитимности ресурса, но и затруднять автоматический анализ страниц системами безопасности. Такая тактика демонстрирует растущую изощренность киберпреступников, постоянно адаптирующих свои методы для обхода защитных механизмов.
Анализ URL-адресов через сервис urlquery показал потенциальное соответствие с фишинг-китом Rockstar2FA, что указывает на использование профессионального инструментария. Этот набор инструментов известен своей способностью обходить двухфакторную аутентификацию, что делает его особенно опасным для корпоративных сред. Детальное изучение транзакций HTTP выявило сложную цепочку перенаправлений, тщательно спроектированную для маскировки конечного пункта назначения.
Исследователи безопасности смогли расширить понимание масштабов кампании, используя хеш-компонентов веб-сайтов через платформу urlscan. Этот метод позволил идентифицировать дополнительные ресурсы, связанные с атакой, и выявить более широкую инфраструктуру злоумышленников. Подобные техники анализа становятся все более важными в борьбе с современными фишинг-атаками, которые активно используют легитимные облачные сервисы.
Эксперты по кибербезопасности отмечают, что использование инфраструктуры Cloudflare представляет серьезную проблему для защиты. Поскольку Cloudflare является доверенным провайдером, трафик через его сеть часто воспринимается как менее подозрительный системами безопасности. Злоумышленники активно эксплуатируют это доверие, размещая фишинговые ресурсы на поддоменах pages.dev, которые автоматически ассоциируются с надежным сервисом.
Данная кампания подчеркивает важность непрерывного обучения сотрудников распознаванию фишинговых атак. Даже технически подкованные пользователи могут стать жертвами таких изощренных схем, особенно когда атака маскируется под рутинные бизнес-процессы. Организациям рекомендуется усилить меры безопасности, включая внедрение строгих политик проверки электронной почты и использование расширенных систем аутентификации.
Исследовательское сообщество призывает специалистов по информационной безопасности, которые сталкивались с подобными фишинг-китами или имеют дополнительные индикаторы компрометации, связанные с этой кампанией, поделиться информацией. Совместные усилия позволяют быстрее разрабатывать эффективные контрмеры и защищать более широкое сообщество от подобных угроз.
Растущая сложность фишинг-атак требует соответствующего развития защитных механизмов. Современные системы безопасности должны включать поведенческий анализ, машинное обучение для обнаружения аномалий и комплексный мониторинг цифровой инфраструктуры. Только многоуровневый подход может эффективно противостоять развивающимся тактикам киберпреступников, использующих легитимные сервисы в злонамеренных целях.
Индикаторы компрометации
Domains
- a1-delivery.pages.dev
- albanypump.pages.dev
- apexa-bid.pages.dev
- apresfurniture.pages.dev
- avenuebooking.pages.dev
- aztecsupply.pages.dev
- csshl-gouv.pages.dev
- csshl-gouv-qc.pages.dev
- cssob-gouv.pages.dev
- emercom.pages.dev
- essemgroup.pages.dev
- groupeabs.pages.dev
- groupeetr.pages.dev
- kza-qc-ca.pages.dev
- minotaurquebec.pages.dev
- modiraor.msk.su
- mountmetalcraft.pages.dev
- mtlpropane.pages.dev
- orao-eng.pages.dev
- pmi-group.pages.dev
- rmsme.pages.dev
- sopainc.pages.dev
- supplyservices.pages.dev
- tarpmakers.pages.dev
- tenaquip.pages.dev
- thinkconfluence.pages.dev
- transitionquebec.pages.dev
- trapenliftservice.pages.dev
- trinoxbu.com.de
- wilsongroup.pages.dev
