Οι τομείς προγραμματιστών του Cloudflare καταχρώνται ολοένα και περισσότερο από παράγοντες απειλών

Οι τομείς «pages.dev» και «workers.dev» του Cloudflare, που χρησιμοποιούνται για την ανάπτυξη ιστοσελίδων και τη διευκόλυνση του υπολογισμού χωρίς διακομιστή, γίνονται όλο και περισσότερο κατάχρηση από εγκληματίες του κυβερνοχώρου για phishing και άλλες κακόβουλες δραστηριότητες.

Σύμφωνα με την εταιρεία κυβερνοασφάλειας Fortra, η κατάχρηση αυτών των τομέων έχει αυξηθεί μεταξύ 100% και 250% σε σύγκριση με το 2023.

Οι ερευνητές πιστεύουν ότι η χρήση αυτών των τομέων στοχεύει στη βελτίωση της νομιμότητας και της αποτελεσματικότητας αυτών των κακόβουλων καμπανιών, εκμεταλλευόμενοι την αξιόπιστη επωνυμία του Cloudflare, την αξιοπιστία της υπηρεσίας, το χαμηλό κόστος χρήσης και τις επιλογές αντιστροφής μεσολάβησης που περιπλέκουν τον εντοπισμό.

Κατάχρηση σελίδων Cloudflare

Οι Σελίδες Cloudflare είναι μια πλατφόρμα που έχει σχεδιαστεί για προγραμματιστές front-end να δημιουργούν, να αναπτύσσουν και να φιλοξενούν γρήγορους, επεκτάσιμους ιστότοπους απευθείας στο παγκόσμιο δίκτυο παράδοσης περιεχομένου (CDN) της Cloudflare.

Διαθέτει στατική φιλοξενία ιστότοπου, υποστηρίζει μια σειρά από σύγχρονα πλαίσια ανάπτυξης εφαρμογών Ιστού και προσφέρει κρυπτογράφηση SSL/TLS από προεπιλογή, διασφαλίζοντας συνδέσεις HTTPS χωρίς να απαιτείται πρόσθετη διαμόρφωση.

Η Fortra αναφέρει ότι οι Σελίδες Cloudflare έχουν γίνει εργαλείο για εγκληματίες του κυβερνοχώρου που το κάνουν κατάχρηση φιλοξενώντας ενδιάμεσες σελίδες phishing που ανακατευθύνουν τα θύματα σε κακόβουλους ιστότοπους, όπως ψεύτικες σελίδες σύνδεσης του Microsoft Office365.

Τα θύματα οδηγούνται εκεί μέσω συνδέσμων που είναι ενσωματωμένοι σε δόλια αρχεία PDF ή σε σώματα ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος, τα οποία δεν επισημαίνονται από προϊόντα ασφαλείας χάρη στη φήμη του Cloudflare.

“Η ομάδα SEA της Fortra παρατήρησε αύξηση 198% στις επιθέσεις phishing στις Σελίδες Cloudflare, αυξάνοντας από 460 περιστατικά το 2023 σε 1.370 περιστατικά από τα μέσα Οκτωβρίου 2024.” αναφέρει η Fortra.

«Με μέσο όρο περίπου 137 περιστατικά το μήνα, ο συνολικός όγκος των επιθέσεων αναμένεται να ξεπεράσει τις 1.600 μέχρι το τέλος του έτους, αντιπροσωπεύοντας μια προβλεπόμενη αύξηση 257% από έτος σε έτος».

Η Fortra σημειώνει επίσης ότι οι φορείς απειλών χρησιμοποιούν την τακτική “bccfoldering” για να κρύψουν την κλίμακα των καμπανιών διανομής email τους.

«Σε αντίθεση με το πεδίο cc, το οποίο εμφανίζει τους παραλήπτες, το bccfoldering αποκρύπτει τους παραλήπτες προσθέτοντάς τους μόνο στον φάκελο του email και όχι στις κεφαλίδες», εξηγεί η Fortra.

“Αυτό καθιστά τους παραλήπτες μη ανιχνεύσιμους, εκτός εάν ο διακομιστής έχει ρυθμιστεί ώστε να τους αποκαλύπτει. Αυτή η τακτική χρησιμοποιείται από τον αντίπαλο για να αποκρύψει την κλίμακα της καμπάνιας phishing, καθώς οι κρυφοί παραλήπτες μπορεί να δυσκολέψουν τον εντοπισμό του πόσο μεγάλη είναι η καμπάνια phishing.”

Κατάχρηση εργαζομένων στο Cloudflare

Το Cloudflare Workers είναι μια υπολογιστική πλατφόρμα χωρίς διακομιστή που επιτρέπει στους προγραμματιστές να γράφουν και να αναπτύσσουν ελαφριές εφαρμογές και σενάρια απευθείας στο δίκτυο αιχμής του Cloudflare.

Οι νόμιμες χρήσεις τους περιλαμβάνουν ανάπτυξη API, βελτιστοποίηση περιεχομένου, προσαρμοσμένο τείχος προστασίας και εφαρμογή CAPTCHA, αυτοματοποίηση εργασιών και δημιουργία μικροϋπηρεσιών.

Η Fortra έχει δει επίσης μια αύξηση στην κατάχρηση των Εργαζομένων, συμπεριλαμβανομένης της διεξαγωγής επιθέσεων κατανεμημένης άρνησης υπηρεσίας (DDoS), της ανάπτυξης τοποθεσιών ηλεκτρονικού ψαρέματος, της εισαγωγής επιβλαβών σεναρίων στο πρόγραμμα περιήγησης του στόχου και της ωμής επιβολής κωδικών πρόσβασης λογαριασμού.

Σε μια περίπτωση που επισημάνθηκε από τους ερευνητές, το Cloudflare Workers γίνεται κατάχρηση για τη φιλοξενία ενός βήματος ανθρώπινης επαλήθευσης σε μια διαδικασία phishing για να προστεθεί νομιμότητα.

«Είμαστε μάρτυρες αύξησης 104% των επιθέσεων phishing σε αυτήν την πλατφόρμα [Cloudflare Workers]αυξάνοντας από 2.447 περιστατικά το 2023 σε 4.999 περιστατικά από έτος έως σήμερα», αναφέρει η έκθεση Fortra.

«Σήμερα, με μέσο όρο 499 περιστατικά το μήνα, ο συνολικός όγκος αναμένεται να φτάσει σχεδόν τα 6.000 μέχρι το τέλος του έτους, αντικατοπτρίζοντας μια προβλεπόμενη αύξηση 145% σε σύγκριση με το προηγούμενο έτος».

Οι χρήστες μπορούν να αμυνθούν από το ηλεκτρονικό ψάρεμα που καταχράται τις νόμιμες υπηρεσίες επαληθεύοντας την αυθεντικότητα των διευθύνσεων URL στις οποίες βρίσκονται όταν τους ζητείται να εισαγάγουν ευαίσθητες πληροφορίες.

Τέλος, η ενεργοποίηση πρόσθετων βημάτων ασφαλείας λογαριασμού, όπως ο έλεγχος ταυτότητας δύο παραγόντων, μπορεί να βοηθήσει στην αποφυγή εξαγορών ακόμη και όταν τα διαπιστευτήρια παραβιάζονται.