Parte 1: A Campanha de Fraude dos Funcionários da Cloudflare
Pesquisadores de cibersegurança alertaram sobre diversas campanhas de phishing que exploram o Cloudflare Workers para coletar credenciais de login de usuários. Esses sites de phishing têm como alvo usuários de serviços como Microsoft, Gmail, Yahoo! e cPanel Webmail.
Neste caso, o atacante utilizou uma técnica chamada " Adversary-in-the- Middle" (AitM). Para realizar o ataque, o atacante usou o Cloudflare Workers como um servidor intermediário falso. Quando um usuário acessava uma página de login legítima, o Cloudflare Workers interceptava e encaminhava os dados entre o usuário e a página de login real.
Essencialmente, esse tipo de ataque ocorrerá através das seguintes quatro etapas:
- Passo 1: O hacker envia e-mails de phishing para o usuário.
Os atacantes enviam e-mails de phishing contendo links para sites falsos. Esses e-mails podem ser falsificados a partir de uma fonte confiável e contêm mensagens que persuadem os usuários a clicar no link.
- Etapa 2: O usuário clica no e-mail e é redirecionado para um site de phishing que utiliza o Cloudflare.
Os usuários recebem e-mails e clicam em links contidos neles, sendo direcionados para um site falso. Este site está hospedado no Cloudflare Workers, portanto, as solicitações dos usuários passam pelo Cloudflare Workers.
- Etapa 3: O Cloudflare encaminha a solicitação do usuário para o site legítimo.
Quando um usuário insere informações de login em um site falso, o Cloudflare Workers registra essas informações (incluindo nome de usuário, senha e código de autenticação de dois fatores, se aplicável). Em seguida, o Cloudflare Workers encaminha essa solicitação para o site legítimo. Os usuários ainda conseguem fazer login no site legítimo sem perceber nenhuma diferença.
- Etapa 4: O Cloudflare registra as informações do usuário e as envia para o hacker.
O Cloudflare Workers registra as informações de login do usuário e as envia para um invasor. O invasor pode então usar essas informações para acessar a conta do usuário e realizar ações maliciosas.
Parte 2: Técnicas de contrabando de HTML e estratégias de coleta de informações de login
O HTML Smuggling é um método de ataque sofisticado usado por invasores para criar páginas de phishing furtivamente diretamente no navegador do usuário.
Essencialmente, o ataque de contrabando de HTML se desenrola nas seguintes cinco etapas principais:
- Passo 1: O atacante envia um e-mail de phishing.
O atacante cria um e-mail de phishing, se passando por uma fonte confiável, como uma organização ou serviço que a vítima utiliza frequentemente. Esse e-mail contém um link malicioso ou um anexo HTML. O conteúdo do e-mail geralmente inclui uma mensagem persuasiva ou urgente, elaborada para induzir a vítima a abrir o link ou o anexo, como uma notificação sobre uma conta bloqueada ou um documento importante que exige atenção imediata.
- Etapa 2: O usuário recebe o e-mail e abre o link/anexo.
Os usuários recebem e-mails de phishing e, sem suspeitar de nada, clicam no link ou abrem o anexo HTML. Ao fazerem isso, o navegador carrega e executa o código JavaScript malicioso contido no arquivo HTML ou no link. Esse código foi projetado para ser executado diretamente no navegador do usuário, sem a necessidade de baixar nenhum software adicional.
- Etapa 3: O código JavaScript cria a página de phishing diretamente no navegador do usuário.
Um código JavaScript malicioso gera automaticamente uma página de phishing e a exibe no navegador do usuário. Essa página de phishing geralmente é muito semelhante à página de login legítima de um serviço online, como Microsoft, Gmail ou qualquer outro serviço que a vítima utilize regularmente. Isso impede que a vítima perceba que está em uma página falsa.
- Etapa 4: O usuário insere suas informações de login na página de phishing.
Sem dúvida, os usuários inserem suas informações de login no site de phishing. Isso inclui nomes de usuário, senhas e, possivelmente, códigos de autenticação de dois fatores (MFA), se solicitados. O site de phishing é projetado para registrar secretamente todas essas informações.
- Etapa 5: As informações de login são enviadas para o servidor do hacker.
Quando um usuário insere suas informações de login em um site de phishing, um código JavaScript malicioso envia essas informações para o servidor do hacker. Isso permite que o invasor colete as credenciais de login da vítima, incluindo nome de usuário, senha e código de autenticação de dois fatores. Com essas informações, o invasor pode obter acesso não autorizado à conta da vítima.
Parte 3: Recomendações para usuários sobre medidas preventivas
Para se protegerem contra métodos de ciberataque cada vez mais sofisticados, como os mencionados acima, os usuários precisam tomar diversas medidas preventivas para minimizar os riscos. Aqui estão algumas recomendações importantes:
- Aumentar a conscientização sobre segurança cibernética
No ambiente digital atual, os métodos de ciberataque estão em constante evolução e se tornam cada vez mais sofisticados. Portanto, manter-se atualizado sobre as ameaças mais recentes à segurança cibernética é extremamente importante. Os usuários devem buscar proativamente fontes de informação confiáveis e atualizadas para entender os riscos e saber como evitá-los.
- Utilizando a autenticação de dois fatores (2FA):
A autenticação de dois fatores adiciona uma camada extra de segurança. Mesmo que um invasor obtenha suas credenciais de login, ele ainda precisará de um segundo código de verificação para acessar sua conta.
- Sempre verifique e confirme antes de tomar qualquer atitude.
Verifique cuidadosamente todos os anexos e links antes de clicar.
PENSE BEM ANTES DE CLICAR COM O MOUSE!!!
- Utilize um software antivírus.
O software antivírus é capaz de analisar e detectar vários tipos de malware, como vírus, trojans, ransomware, spyware e outras ameaças. Ao detectar uma ameaça, ele a remove ou isola para proteger seu sistema.
Na era digital atual, os métodos de ciberataque estão se tornando cada vez mais sofisticados e difíceis de detectar. Compreender e prevenir campanhas de phishing que utilizam Cloudflare Workers e HTML Smuggling é crucial. Para se protegerem, os usuários precisam atualizar regularmente seus conhecimentos sobre cibersegurança, usar gerenciadores de senhas, instalar softwares antivírus e implementar a autenticação de dois fatores. Essas medidas não apenas ajudam a proteger informações pessoais, mas também contribuem para aprimorar a cibersegurança de toda a comunidade.
— Compilado pelo Comitê de Segurança e Ordem —
Fonte: https://www.misa.vn/147167/giai-ma-cac-chien-thuat-tan-cong-phishing-hien-dai-tu-cloudflare-workers-den-html-smuggling/
![[Foto] Recepção para dar as boas-vindas ao Secretário-Geral e Presidente To Lam e sua esposa em sua visita de Estado às Filipinas.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/06/01/1780295488620_vna-potal-chieu-dai-chao-mung-tong-bi-thu-chu-tich-nuoc-to-lam-va-phu-nhan-tham-cap-nha-nuoc-toi-philippines-8798060-7855-jpg.webp)
Comentário (0)