Nascondersi con Turnstile Verification
7 novembre 2024
Cosa imparerai in questa notifica
Le più recenti strategie di offuscamento per nascondere contenuti dannosi con tecniche di verifica di turnstile.
- Mirato a tutti i settori.
- Gli aggressori creano controlli Cloudflare Turnstile per offuscare le loro pagine di phishing
- L'obiettivo è ottenere le credenziali per attacchi successivi ed estorsioni.
I ricercatori di minacce di Mimecast hanno identificato un aumento nell'uso dei controlli di Cloudflare Turnstile per nascondere contenuti dannosi e migliorare la legittimità dei loro siti di phishing o fraudolenti. Turnstile è progettato per verificare gli utenti senza la necessità dei tradizionali CAPTCHA, rendendolo uno strumento interessante per chi cerca di aggirare le misure di sicurezza mantenendo una parvenza di credibilità. Comprendere le implicazioni dell'uso di Cloudflare Turnstile, oltre a riconoscere i comuni indicatori di compromissione, è fondamentale per mantenere il livello di sicurezza in una organizzazione.
Esempi di flusso della campagna
- La maggior parte utilizza account compromessi per condividere un link di phishing.
- I link di phishing avviano automaticamente un passaggio di verifica di Cloudflare Turnstile.
- Un ulteriore offuscamento viene effettuato tramite file .wav incorporati
- Tutte le pagine reindirizzano a una pagina di phishing per le credenziali di Microsoft 365
Un esempio più complesso che utilizza un file WAV per aggiungere un ulteriore punto di interazione umana per rendere ancora più difficile l'identificazione della pagina dannosa.
Meccanismi di abuso
Legittimità tramite verifica
Turnstile opera in modo trasparente, confermando che gli utenti sono reali senza visualizzare i tradizionali CAPTCHA. Questa funzionalità può essere sfruttata da attori delle minacce per creare un falso senso di sicurezza nei loro siti. Integrando Turnstile, possono convincere gli utenti e i sistemi di sicurezza che il loro sito è legittimo, riducendo così la probabilità di essere sottoposti a un controllo.
Nascondere contenuti malevoli
Nelle campagne di phishing, gli aggressori possono utilizzare Turnstile per offuscare il contenuto effettivo dei loro siti dagli scansioni di sicurezza. Integrando Turnstile, possono impedire ai sistemi automatici di rilevare elementi dannosi, poiché il processo di verifica potrebbe nascondere la vera natura del sito. Questa tattica consente loro di eludere il rilevamento pur continuando a sembrare conformi ai protocolli di sicurezza.
Protezione Mimecast
Abbiamo introdotto nuove funzionalità per facilitare il rilevamento di questo tipo di attacco. Leggi l'aggiornamento del servizio per saperne di più sulla nuova funzionalità del nostro servizio URL Protect.
Obiettivi:
Globale, tutti i settori
Indicatori di compromissione
URL principali:
kckcaybfelv63lh671791dc49405.mueblesnet[.]com
dfo8pirl6ixxbq6671296e55b8a1.kodaa[.]lv
jhfuhyjaie1a9qx67128bb6d5ce3.filsecestors-insularpoint[.]org
filsecestors-insularpoint[.]org
phh.filsecestors-insularpoint[.]org
msd1u18s0hoj0dp670ff81742118[.]safescanlogistics
Raccomandazioni
- Informa gli utenti sui rischi del phishing e sulle tattiche utilizzate dagli aggressori, incluso l'uso di processi di verifica apparentemente legittimi.
- Cerca nei tuoi registri di phishing/URL per determinare se la tua organizzazione è stata vittima di questo tipo di attacco di phishing, utilizzando gli indicatori di compromissione pubblicati
- Reimposta le credenziali degli utenti interessati per garantire che l'accesso del attore di minacce venga revocato.
- Utilizza l'autenticazione a più fattori per ridurre la capacità di un aggressore di accedere alle credenziali dei tuoi utenti