Parte 1: Campaña de phishing con trabajadores de Cloudflare

Los investigadores de ciberseguridad han advertido sobre varias campañas de phishing que aprovechan Cloudflare Workers para recopilar credenciales de los usuarios. Estos sitios de phishing se dirigen a usuarios de servicios como Microsoft, Gmail, Yahoo! y cPanel Webmail.

Aquí, el atacante utilizó una técnica llamada “Adversario en el medio” ( AitM ). Para llevar a cabo el ataque, el atacante utiliza Cloudflare Workers como un servidor intermedio falso. Cuando un usuario visita una página de inicio de sesión legítima, Cloudflare Workers intercepta y envía datos entre el usuario y la página de inicio de sesión real.

Básicamente, este ataque se llevará a cabo a través de los siguientes 4 pasos:

• Paso 1: El hacker envía un correo electrónico de phishing al usuario

Los atacantes envían correos electrónicos de phishing que contienen enlaces a sitios web falsos. Este correo electrónico puede hacerse pasar por una fuente confiable y contener un mensaje que convenza al usuario a hacer clic en un enlace.

• Paso 2: El usuario hace clic en el correo electrónico y es redirigido a un sitio web de phishing a través de Cloudflare.

El usuario recibe el correo electrónico y hace clic en el enlace del correo electrónico, que lo lleva a un sitio web falso. Este sitio está alojado en Cloudflare Workers, por lo que las solicitudes de los usuarios pasan por Cloudflare Workers.

• Paso 3: Cloudflare reenvía la solicitud del usuario al sitio web legítimo

Cuando un usuario ingresa su información de inicio de sesión en el sitio falso, Cloudflare Workers captura la información de inicio de sesión (incluido el nombre de usuario, la contraseña y el código de autenticación de dos factores, si corresponde). Luego, los trabajadores de Cloudflare reenvían esta solicitud al sitio web legítimo. Los usuarios aún pueden iniciar sesión en el sitio web legítimo sin notar la diferencia.

• Paso 4: Cloudflare registra la información del usuario y la envía a los piratas informáticos

Los trabajadores de Cloudflare registran la información de inicio de sesión del usuario y la envían al atacante. El atacante puede luego usar esta información para acceder a la cuenta del usuario y realizar acciones maliciosas.

Parte 2: Técnicas de contrabando de HTML y estrategias de recolección de credenciales

El contrabando de HTML es un método de ataque sofisticado que los atacantes utilizan para crear sigilosamente páginas fraudulentas directamente en el navegador del usuario.

Básicamente, un ataque de contrabando de HTML se lleva a cabo en 5 pasos principales:

• Paso 1: El atacante envía un correo electrónico de phishing

El atacante crea un correo electrónico de phishing haciéndose pasar por una fuente confiable, como una organización o un servicio que la víctima utiliza habitualmente. Este correo electrónico contiene un enlace malicioso o un archivo adjunto HTML. El contenido del correo electrónico a menudo incluye un mensaje convincente o urgente destinado a incitar a la víctima a abrir un enlace o un archivo adjunto, como una notificación sobre una cuenta bloqueada o un documento importante que debe verse de inmediato.

• Paso 2: El usuario recibe el correo electrónico y abre el enlace/archivo adjunto

El usuario recibe un correo electrónico de phishing y, sin sospecharlo, hace clic en un enlace o abre un archivo adjunto HTML. Al hacerlo, el navegador del usuario cargará y ejecutará código JavaScript malicioso contenido en el archivo o enlace HTML. Este código está diseñado para funcionar directamente en el navegador del usuario sin la necesidad de descargar ningún software adicional.

• Paso 3: El código JavaScript crea una página de phishing directamente en el navegador del usuario

El código JavaScript malicioso genera automáticamente una página de phishing y la muestra en el navegador del usuario. Esta página de phishing a menudo parece muy similar a la página de inicio de sesión legítima de un servicio en línea como Microsoft, Gmail o cualquier otro servicio que la víctima utiliza habitualmente. Esto hace que la víctima no se dé cuenta de que está en un sitio falso.

• Paso 4: El usuario ingresa información de inicio de sesión en el sitio de phishing

Sin sospechar nada, el usuario ingresa sus credenciales de inicio de sesión en el sitio de phishing. Esto incluye su nombre de usuario, contraseña y posiblemente un código de autenticación de dos factores (MFA) si es necesario. El sitio fraudulento está diseñado para registrar toda esta información en secreto.

• Paso 5: La información de inicio de sesión se envía al servidor del pirata informático.

Cuando el usuario ingresa su información de inicio de sesión en la página de phishing, el código JavaScript malicioso envía esta información al servidor del hacker. Esto permite al atacante recopilar las credenciales de inicio de sesión de la víctima, incluido el nombre de usuario, la contraseña y el código de autenticación de dos factores. Con esta información, el atacante puede obtener acceso no autorizado a la cuenta de la víctima.

Parte 3: Recomendaciones para los usuarios sobre precauciones

Para protegerse de ataques cibernéticos cada vez más sofisticados como los mencionados anteriormente, los usuarios deben tomar algunas precauciones para minimizar el riesgo. A continuación se presentan algunas recomendaciones importantes:

• Concientización sobre la ciberseguridad

En el entorno digital actual, los métodos de ciberataque evolucionan constantemente y se vuelven cada vez más sofisticados. Por lo tanto, es sumamente importante actualizar periódicamente los conocimientos sobre las últimas amenazas a la ciberseguridad. Los usuarios deben monitorear de forma proactiva fuentes de información confiables y actualizadas para comprender los riesgos y saber cómo prevenirlos.

• Utilice la autenticación de dos factores (2FA):

La autenticación de dos factores agrega una capa adicional de seguridad. Incluso si un atacante obtiene su información de inicio de sesión, aún necesitará un segundo código de autenticación para acceder a su cuenta.

• Siempre verifique y compruebe antes de actuar

Verifique todos los archivos adjuntos y enlaces antes de hacer clic.

¡¡¡PIENSA CUIDADOSAMENTE ANTES DE HACER CLIC!!!

• Utilice software antivirus

El software antivirus es capaz de escanear y detectar varios tipos de malware, como virus, troyanos, ransomware, spyware y otras amenazas. Tras la detección, elimina o pone en cuarentena el malware para proteger su sistema.

En la era digital actual, los ataques cibernéticos son cada vez más sofisticados y difíciles de detectar. Es importante comprender y protegerse contra las campañas de phishing que utilizan Cloudflare Workers y HTML Smuggling. Para protegerse, los usuarios necesitan actualizar periódicamente sus conocimientos sobre ciberseguridad, utilizar un administrador de contraseñas, instalar software antivirus y aplicar la autenticación de dos factores. Estas medidas no solo ayudan a proteger la información personal, sino que también contribuyen a mejorar la ciberseguridad de toda la comunidad.

— Departamento de Seguridad General —