Обнаружены фишинговые формы, подписанные сертификатами Cloudflare и Microsoft

Недавно Cloudflare представила шлюз IPFS, созданный для получения доступа к распределенному хранилищу IPFS через браузер. Все соединения с этим шлюзом снабжены SSL-сертификатами, подписанными Cloudflare. Злоумышленники воспользовались этим шлюзом, чтобы показывать своим жертвам сохраненный там HTML-документ. Видя форму, подписанную сертификатом безопасности известной компании, пользователи могут решить, что форма настоящая и попасться на удочку.


Когда пользователь отправляет данные формы, его телефон и адрес почты отправляются на страницу злоумышленников на searchurl.bid, после чего отображается случайный PDF с текстом о бизнес-стратегиях.
Те же злоумышленники участвовали во многих других фишинговых схемах. С помощью VirusTotal авторы beepingcomputer.com поискали URL , связанные с доменом searchurl.bid и нашли множество страниц с фишинговыми формами. Некоторые из них все еще действуют и отображают формы логина в аккаунты Google, Windows, DocuSign и другие. Хотя адреса этих страниц выглядят крайне подозрительно, многие люди в спешке могут ввести и отправить свои данные.
Ранее была описана фишинговая атака с помощью формы, расположенной в хранилище данных Azure Blob Storage. Злоумышленники рассылали спам с приложенными файлами PDF, в котором якобы были отсканированные документы от юридической фирмы.

Нажав на ссылку для скачивания PDF, пользователь попадает на страницу логина для доступа к сервисам Microsof 365. Эта страница хостится по адресу https://onedriveunbound80343.blob.core.windows.net — в хранилище Azure Blob Storage. К этому хранилищу можно подключаться как по HTTP, так и по HTTPS, причем во втором случае будет отображаться сертификат SSL, подписанный Microsoft.
Источник
Batafsil | Подробно | Read more... InfoCOM