Ocultación con verificación de Turnstile
7 de noviembre de 2024
Qué aprenderá en esta notificación
Las últimas técnicas de ofuscación para ocultar contenido malicioso tras técnicas de verificación de Turnstile.
- Dirigido a todos los sectores
- Los atacantes crean comprobaciones de Cloudflare Turnstile para ofuscar sus páginas de phishing
- El objetivo es obtener credenciales para ataques posteriores y extorsión.
Los investigadores de amenazas han identificado el aumento del uso de los controles de Cloudflare Turnstile para ocultar contenido malicioso y mejorar la legitimidad de sus sitios de phishing o fraudulentos. Turnstile está diseñado para verificar a los usuarios sin necesidad de los tradicionales desafíos CAPTCHA, lo que lo convierte en una herramienta atractiva para aquellos que buscan eludir las medidas de seguridad mientras mantienen una fachada de credibilidad. Comprender las implicaciones del uso de Cloudflare Turnstile, junto con el reconocimiento de indicadores de compromiso (IOC) frecuentes, es crucial para mantener la postura de seguridad de su organización.
Ejemplos de flujo de campaña
- La mayoría utiliza cuentas comprometidas para compartir un enlace de phishing.
- Los enlaces de phishing iniciarán automáticamente un paso de verificación de Cloudflare Turnstile.
- Se utiliza una mayor ofuscación a través de archivos .wav incrustados.
- Todas las páginas redirigen a una página de phishing para captar credenciales de Microsoft 365
Un ejemplo más oscuro que utiliza un archivo wav para añadir otro punto de interacción humana y ofuscar aún más la página maliciosa.
Mecanismos de abuso
Legitimidad a través de la verificación
Turnstile funciona de forma transparente, confirmando que los usuarios son reales sin mostrar los tradicionales desafíos CAPTCHA. Esta característica puede ser explotada por los actores de amenazas para crear una falsa sensación de seguridad en torno a sus sitios. Al integrar Turnstile, pueden convencer a los usuarios y a los sistemas de seguridad de que su sitio es legítimo, reduciendo así la probabilidad de escrutinio.
Ocultar contenido malicioso
En las campañas de phishing, los atacantes pueden utilizar Turnstile para ocultar el contenido real de sus sitios a los escáneres de seguridad. Al integrar Turnstile, pueden evitar que los sistemas automatizados detecten elementos maliciosos, ya que el proceso de verificación puede enmascarar la verdadera naturaleza del sitio. Esta táctica les permite evadir la detección sin dejar de parecer que cumplen con los protocolos de seguridad.
Protección de Mimecast
Hemos implementado una nueva funcionalidad para ayudar en la detección de este tipo de ataque. Lea la actualización del servicio para obtener más información sobre la nueva capacidad de nuestro servicio de protección de URL.
Destinatarios:
Global, todos los sectores
IOC:
URLs principales:
kckcaybfelv63lh671791dc49405.mueblesnet[.]com
dfo8pirl6ixxbq6671296e55b8a1.kodaa[.]lv
jhfuhyjaie1a9qx67128bb6d5ce3.filsecestors-insularpoint[.]org
filsecestors-insularpoint[.]org
phh.filsecestors-insularpoint[.]org
msd1u18s0hoj0dp670ff81742118[.]safescanlogistics
Recomendaciones
- Informe a los usuarios sobre los riesgos del phishing y las tácticas utilizadas por los atacantes, incluido el uso de procesos de verificación aparentemente legítimos.
- Busque en sus registros de phishing/URL para determinar si ha sido víctima de este estilo de ataque de phishing utilizando los IOC publicados
- Restablezca las credenciales de los usuarios afectados para garantizar que se revoque el acceso del actor malintencionado.
- Utilice la autenticación multifactor para reducir la capacidad de un atacante de obtener acceso a las credenciales de sus usuarios