Cybercriminelen misbruiken steeds vaker Cloudflare’s ‘pages.dev’- en ‘workers.dev’-domeinen, die ontwikkelaars gebruiken voor het hosten van webpagina’s. Criminelen gebruiken deze domeinen voor phishing en andere kwaadaardige activiteiten.
Dit blijkt uit berichtgeving van BleepingComputer. Cybersecuritybedrijf Fortra meldt dat het misbruik van deze domeinen met 100% tot 250% toenam ten opzichte van 2023. Onderzoekers vermoeden dat criminelen deze domeinen inzetten om hun campagnes betrouwbaarder en effectiever te maken. Ze profiteren van Cloudflare’s vertrouwde reputatie, betrouwbare dienstverlening, lage gebruikskosten en reverse proxy-mogelijkheden, die detectie bemoeilijken.
Misbruik van Cloudflare Pages
Cloudflare Pages biedt front-end ontwikkelaars een platform om snelle en schaalbare websites te bouwen, implementeren en hosten via Cloudflare’s wereldwijde Content Delivery Network (CDN). Het platform ondersteunt moderne frameworks voor webapplicaties en levert standaard SSL/TLS-versleuteling voor veilige HTTPS-verbindingen zonder extra configuratie.
Hosten van phishingpagina’s
Fortra signaleert dat cybercriminelen Cloudflare Pages gebruiken om phishingpagina’s te hosten die slachtoffers doorsturen naar kwaadaardige sites. Denk aan nep-inlogpagina’s voor Microsoft Office365. Deze pagina’s bereiken slachtoffers via links in frauduleuze PDF-bestanden of phishingmails. Dankzij de goede reputatie van Cloudflare blijven deze links vaak onopgemerkt door beveiligingssoftware.
Fortra’s SEA-team rapporteert een toename van 198% in phishingaanvallen op Cloudflare Pages. “We zien het aantal incidenten stijgen van 460 in 2023 naar 1.370 medio oktober 2024.” Gemiddeld constateren onderzoekers ongeveer 137 incidenten per maand. “We verwachten dat het totale aantal aanvallen dit jaar de 1.600 overschrijdt, een jaarlijkse stijging van 257%.”
Daarnaast ziet men dat dreigingsactoren “bccfoldering” gebruiken om de omvang van hun e-mailcampagnes te verbergen. In tegenstelling tot het cc-veld, dat ontvangers toont, verbergt bccfoldering ontvangers door ze alleen toe te voegen aan de e-mailenvelop, niet aan de headers. Dit maakt het moeilijker om de schaal van de phishingcampagne te detecteren.
Misbruik van Cloudflare Workers
Cloudflare Workers is een computingplatform waarmee ontwikkelaars applicaties en scripts direct op Cloudflare’s edge-netwerk implementeren. Dit platform ondersteunt toepassingen zoals API’s, contentoptimalisatie, aangepaste firewalls, taakautomatisering en microservices.
Duidelijk is dat criminelen Cloudflare Workers misbruiken voor DDoS-aanvallen, phishingpagina’s, het injecteren van schadelijke scripts in browsers en brute force-aanvallen op accounts.
Onderzoekers signaleren dat criminelen Cloudflare Workers inzetten om een menselijke verificatiestap toe te voegen aan phishingprocessen, waarmee ze extra legitimiteit creëren.
Men constateert een stijging van 104% in phishingaanvallen op het platform, van 2.447 incidenten in 2023 naar 4.999 incidenten tot nu toe in 2024. Dit komt neer op gemiddeld 499 incidenten per maand. De verwachting is dat het aantal incidenten dit jaar bijna 6.000 bereikt, een stijging van 145% ten opzichte van vorig jaar.
Bescherming tegen misbruik
Gebruikers kunnen zichzelf beschermen door te controleren of een URL legitiem is voordat ze gevoelige informatie invoeren. Extra beveiligingsstappen, zoals tweefactorauthenticatie, verkleinen de kans op accountovernames, zelfs als inloggegevens worden gestolen.