Masquage grâce à la vérification Turnstile
7 novembre 2024
Ce que vous apprendrez dans cette notification
Les dernières techniques pour masquer les contenus malveillants derrière les techniques de vérification Turnstile.
- Ciblage de tous les secteurs
- Les attaquants créent des contrôles Cloudflare Turnstile pour masquer leurs pages de phishing
- L'objectif est d'obtenir des informations d'identification en vue d'attaques ultérieures et d'extorsion.
Les chercheurs en menaces de Mimecast ont identifié l'utilisation croissante des contrôles Turnstile de Cloudflare pour masquer le contenu malveillant et renforcer la légitimité de leurs sites de phishing ou frauduleux. Turnstile est conçu pour vérifier les utilisateurs sans avoir à relever les défis CAPTCHA traditionnels, ce qui en fait un outil intéressant pour ceux qui cherchent à contourner les mesures de sécurité tout en conservant une façade de crédibilité. Il est crucial de comprendre les implications de l'utilisation de Cloudflare Turnstile et de reconnaître les indicateurs courants de compromission (IoC) pour maintenir la posture de sécurité de votre organisation.
Exemples de flux de campagne
- La majorité d'entre eux utilisent des comptes compromis pour partager un lien de phishing.
- Les liens de Phishing lanceront automatiquement une étape de vérification Cloudflare Turnstile.
- Une obscurcissement supplémentaire est utilisé par le biais des fichiers .wav intégrés.
- Toutes les pages redirigent vers une page de phishing visant à dérober les identifiants Microsoft 365
Un exemple plus obscur utilise un fichier wav pour ajouter un autre point d'interaction humaine afin d'obscurcir davantage la page malveillante.
Mécanismes d'abus
La légitimité grâce à la vérification
Turnstile fonctionne de manière transparente, confirmant que les utilisateurs sont réels sans afficher les défis CAPTCHA traditionnels. Cette fonctionnalité peut être exploitée par des acteurs malveillants pour créer un faux sentiment de sécurité autour de leurs sites. En intégrant Turnstile, ils peuvent convaincre les utilisateurs et les systèmes de sécurité de la légitimité de leur site, réduisant ainsi les risques d'un examen minutieux.
Masquage du contenu malveillant
Dans les campagnes de phishing, les attaquants peuvent utiliser Turnstile pour dissimuler le contenu réel de leurs sites aux scanners de sécurité. En intégrant Turnstile, ils peuvent empêcher les systèmes automatisés de détecter des éléments malveillants, car le processus de vérification peut masquer la véritable nature du site. Cette tactique leur permet d’échapper à la détection tout en donnant l'impression de se conformer aux protocoles de sécurité.
Protection Mimecast
Nous avons déployé une nouvelle fonctionnalité pour faciliter la détection de ce type d'attaque. Lisez la mise à jour du service pour en savoir plus sur les nouvelles fonctionnalités de notre service URL Protect.
Ciblage :
Global, tous les secteurs
CIO :
URLs principales :
kckcaybfelv63lh671791dc49405.mueblesnet[.]com
dfo8pirl6ixxbq6671296e55b8a1.kodaa[.]lv
jhfuhyjaie1a9qx67128bb6d5ce3.filsecestors-insularpoint[.]org
filsecestors-insularpoint[.]org
phh.filsecestors-insularpoint[.]org
msd1u18s0hoj0dp670ff81742118[.]safescanlogistics
Recommandations
- Informez les utilisateurs des risques de phishing et des tactiques utilisées par les attaquants, y compris l’utilisation de processus de vérification apparemment légitimes.
- Effectuez une recherche dans vos journaux de phishing/URL pour déterminer si vous avez été victime de ce type d’attaque de phishing à l’aide des CIO publiés.
- Réinitialisez les informations d'identification des utilisateurs concernés pour que l'accès de l'acteur malveillant soit révoqué.
- Utilisez l'authentification multifactorielle pour réduire la capacité d'un attaquant à accéder aux identifiants de vos utilisateurs.