据观察,一场大规模的网络钓鱼活动利用托管在Webflow内容交付网络 (CDN) 上的虚假 PDF 文档,目的是窃取信用卡信息并进行金融欺诈。
Netskope 威胁实验室的研究员 Jan Michael Alcantara表示:“攻击者瞄准在搜索引擎上搜索文档的受害者,导致受害者访问包含嵌入钓鱼链接的 CAPTCHA 图像的恶意 PDF,从而诱导他们提供敏感信息。”
该活动自 2024 年下半年开始,要求用户在 Google 等搜索引擎上搜索书名、文档和图表,以将用户重定向到托管在 Webflow CDN 上的 PDF 文件。
这些 PDF 文件嵌入了模仿 CAPTCHA 挑战的图像,导致点击该图像的用户被带到一个钓鱼页面,而这一次,该页面托管着一个真正的 Cloudflare Turnstile CAPTCHA。
通过这样做,攻击者的目的是为该过程披上一层合法的外衣,欺骗受害者认为他们已经进行了安全检查,同时还能逃避静态扫描仪的检测。
完成真正的 CAPTCHA 挑战的用户随后会被重定向到一个包含“下载”按钮的页面,以访问所谓的文档。然而,当受害者试图完成这一步时,他们会收到一条弹出消息,要求他们输入个人和信用卡详细信息。
Michael Alcantara 表示:“输入信用卡详细信息后,攻击者会发送错误消息,表示该请求未被接受。如果受害者再提交信用卡详细信息两三次,他们将被重定向到 HTTP 500 错误页面。”
SlashNext 详细介绍了一款名为 Astaroth(不要与同名的银行恶意软件混淆)的新型网络钓鱼工具包,该工具包在 Telegram 和网络犯罪市场上以 2,000 美元的价格出售,以换取六个月的更新和绕过技术。
与其他网络钓鱼即服务 ( PhaaS ) 产品一样,它允许网络犯罪分子通过模仿流行在线服务的虚假登录页面来获取凭证和双因素身份验证 (2FA) 代码。
安全研究员 Daniel Kelley表示: “Astaroth 利用Evilginx风格的反向代理来拦截和操纵受害者与 Gmail、雅虎和微软等合法身份验证服务之间的流量。它充当中间人,实时捕获登录凭据、令牌和会话 cookie,有效绕过 2FA。”
信息来源:The hacker News
原文始发于微信公众号(犀牛安全):黑客利用 Webflow CDN PDF 上的 CAPTCHA 技巧绕过安全扫描程序
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论