Les pages de Cloudflare.développeurs et travailleurs.les domaines de développement, utilisés pour déployer des pages Web et faciliter l’informatique sans serveur, sont de plus en plus utilisés par les cybercriminels pour le phishing et d’autres activités malveillantes.
Selon la firme de cybersécurité Fortra, l’abus de ces domaines a augmenté entre 100% et 250% par rapport à 2023.
Les chercheurs pensent que l’utilisation de ces domaines vise à améliorer la légitimité et l’efficacité de ces campagnes malveillantes, en tirant parti de la marque de confiance de Cloudflare, de la fiabilité du service, des faibles coûts d’utilisation et des options de proxy inverse qui compliquent la détection.
Abus des Pages Cloudflare
Cloudflare Pages est une plate-forme conçue pour que les développeurs frontaux puissent créer, déployer et héberger des sites Web rapides et évolutifs directement sur le réseau mondial de diffusion de contenu (CDN) de Cloudflare.
Il propose un hébergement de site statique, prend en charge une gamme de frameworks de déploiement d’applications Web modernes et offre un cryptage SSL/TLS par défaut, garantissant des connexions HTTPS sans nécessiter de configuration supplémentaire.
Fortra rapporte que Cloudflare Pages est devenu un outil pour les cybercriminels qui en abusent en hébergeant des pages de phishing intermédiaires qui redirigent les victimes vers des sites malveillants tels que de fausses pages de connexion Microsoft Office365.
Les victimes y sont dirigées via des liens intégrés dans des PDF frauduleux ou sur des corps d’e-mails de phishing, qui ne sont pas signalés par les produits de sécurité grâce à la réputation de Cloudflare.
« »L’équipe SEA de Fortran a observé une augmentation de 198% des attaques de phishing sur les pages Cloudflare, passant de 460 incidents en 2023 à 1 370 incidents à la mi-octobre 2024 », rapporte Fortran.
« Avec une moyenne d’environ 137 incidents par mois, le volume total d’attaques devrait dépasser les 1 600 d’ici la fin de l’année, ce qui représente une augmentation prévue de 257% d’une année sur l’autre. »
For tra note également que les acteurs de la menace utilisent la tactique du « pliage bcc » pour masquer l’ampleur de leurs campagnes de distribution d’e-mails.
« »Contrairement au champ cc, qui affiche les destinataires, bccfoldering masque les destinataires en les ajoutant uniquement à l’enveloppe de l’e-mail, pas aux en-têtes », explique Fortran.
« Cela rend les destinataires indétectables à moins que le serveur ne soit configuré pour les révéler. Cette tactique est utilisée par l’adversaire pour dissimuler l’ampleur de la campagne de phishing, car les destinataires dissimulés peuvent rendre difficile la détection de l’ampleur de la campagne de phishing. »
Abus des employés de Cloudflare
Cloudflare Workers est une plate-forme informatique sans serveur qui permet aux développeurs d’écrire et de déployer des applications et des scripts légers directement sur le réseau périphérique de Cloudflare.
Leurs utilisations légitimes incluent le déploiement d’API, l’optimisation du contenu, la mise en œuvre de pare-feu et de CAPTCHA personnalisés, l’automatisation des tâches et la création de microservices.
Fortra a également constaté une recrudescence des abus envers les travailleurs, notamment pour avoir mené des attaques par déni de service distribué (DDoS), déployé des sites de phishing, injecté des scripts nuisibles dans le navigateur de la cible et forcé brutalement les mots de passe des comptes.
Dans un cas mis en évidence par les chercheurs, Cloudflare Workers est victime d’abus pour avoir hébergé une étape de vérification humaine dans un processus de phishing afin d’ajouter de la légitimité.
« Nous avons assisté à une augmentation de 104% des attaques de phishing sur cette plate-forme [Cloudflare Workers], passant de 2 447 incidents en 2023 à 4 999 incidents depuis le début de l’année », lit-on dans le rapport Fortra.
« Avec actuellement une moyenne de 499 incidents par mois, le volume total devrait atteindre près de 6 000 d’ici la fin de l’année, reflétant une augmentation prévue de 145% par rapport à l’année précédente. »
Les utilisateurs peuvent se défendre contre le phishing qui abuse des services légitimes en vérifiant l’authenticité des URL sur lesquelles ils se trouvent lorsqu’on leur demande de saisir des informations sensibles.
Enfin, l’activation d’étapes de sécurité de compte supplémentaires telles que l’authentification à deux facteurs peut aider à empêcher les prises de contrôle même lorsque les informations d’identification sont compromises.