idNSA.id - Penggunaan Cloudflare R2
oleh pelaku ancaman untuk menghosting halaman phishing telah mengalami
peningkatan 61 kali lipat selama enam bulan terakhir.
"Sebagian besar kampanye phishing
menargetkan kredensial login Microsoft, meskipun ada beberapa halaman yang
menargetkan Adobe, Dropbox, dan aplikasi cloud lainnya," kata peneliti
keamanan Netskope Jan Michael.
Cloudflare R2, analog dengan Amazon
Web Service S3, Google Cloud Storage, dan Azure Blob Storage, adalah layanan
penyimpanan data untuk cloud.
Perkembangan ini dilakukan karena
jumlah total aplikasi cloud dari mana unduhan malware berasal telah meningkat
menjadi 167, dengan Microsoft OneDrive, Squarespace, GitHub, SharePoint, dan
Weebly mengambil lima tempat teratas.
Kampanye phishing yang diidentifikasi
oleh Netskope tidak hanya menyalahgunakan Cloudflare R2 untuk mendistribusikan
halaman phishing statis, tetapi juga memanfaatkan penawaran Turnstile perusahaan,
pengganti CAPTCHA, untuk menempatkan halaman tersebut di belakang penghalang
anti-bot untuk menghindari deteksi.
Dengan demikian, ini mencegah pemindai
online seperti urlscan.io mencapai situs phishing yang sebenarnya,
karena tes CAPTCHA menghasilkan kegagalan.
Sebagai lapisan tambahan penghindaran
deteksi, situs berbahaya dirancang untuk memuat konten hanya ketika kondisi
tertentu terpenuhi.
"Situs web berbahaya memerlukan
situs rujukan untuk menyertakan stempel waktu setelah simbol hash di URL untuk
menampilkan halaman phishing yang sebenarnya," kata Michael. "Di sisi
lain, situs perujuk membutuhkan situs phishing yang diteruskan sebagai
parameter."
Jika tidak ada parameter URL yang
diteruskan ke situs perujuk, pengunjung akan dialihkan ke www.google[.] .com.
Perkembangan ini terjadi sebulan
setelah perusahaan keamanan siber mengungkapkan rincian kampanye phishing yang
ditemukan menghosting halaman login palsunya di AWS Amplify untuk mencuri
kredensial perbankan dan Microsoft 365 pengguna, bersama dengan detail
pembayaran kartu melalui API Bot Telegram.
