O campanie de furt de acreditări Microsoft 365 folosește propriile instrumente anti-bot și de verificare umană ale Cloudflare împotriva comunității de securitate, conform unui raport publicat de DomainTools Investigations. Operațiunea utilizează sistemul de verificare umană Turnstile al Cloudflare, liste de IP blocate hardcodate și obfuscare personalizată a codului pentru a proteja site-urile de phishing de detectarea de către cercetătorii în securitate și scanerele automatizate.
Descoperirile se adaugă la un corp tot mai mare de dovezi că actorii malițioși cooptează din ce în ce mai mult infrastructura legitimă de securitate pentru a masca activitatea malițioasă, o tendință pe care însuși Cloudflare a evidențiat-o în Raportul său privind amenințările din 2026, care a urmărit 230 de miliarde de amenințări cibernetice zilnice.
Cum funcționează campania
Site-urile de phishing utilizează mai multe straturi de verificare înainte de a-și livra încărcătura malițioasă. Vizitatorii întâlnesc mai întâi o provocare autentică de verificare Cloudflare Turnstile. În spate, site-ul verifică în tăcere adresa IP a vizitatorului comparând-o cu o listă neagră codificată fix care include intervale aparținând unor firme majore de securitate precum Palo Alto Networks și FireEye, precum și furnizori de servicii cloud precum Amazon Web Services și Google.
Site-urile inspectează și șirurile de tip user-agent ale browserului. Dacă este detectat un scaner de securitate sau un bot — inclusiv Googlebot, Bingbot sau AhrefsBot — pagina se înlocuiește cu un mesaj fals „404 Not Found”, împiedicând indexarea sau semnalarea conținutului malițios.
Pentru vizitatorii care trec aceste verificări, logica de furt de acreditări este executată printr-o funcție personalizată de mașină virtuală care interpretează un șir de instrucțiuni codificate, în loc de JavaScript standard. Acest lucru împiedică analiza statică să identifice parametrii de furt de date sau adresele URL de comandă și control. Când verificările de filtrare detectează un vizitator suspect, cadrul schimbă dinamic adresa URL de destinație către un domeniu legitim precum Google.com, neutralizând amprenta malițioasă pentru analize ulterioare.
O cheie partajată oferă o oportunitate de urmărire
Cercetătorii DomainTools au identificat o vulnerabilitate în infrastructura campaniei: o cheie statică Cloudflare Turnstile sitekey — 0x4AAAAAACG6TJhrsuZdpjsN — partajată pe mai multe domenii de phishing. Acest identificator este creat atunci când un utilizator Cloudflare configurează widget-ul Turnstile, iar reutilizarea sa pe mai multe site-uri sugerează că domeniile sunt controlate de același operator. Echipele de securitate pot utiliza această cheie pentru corelări în sursele de telemetrie precum Shodan, Censys și URLScan pentru a identifica site-uri de phishing nou înregistrate înainte ca acestea să fie folosite în campanii active.
Domeniile de phishing au fost înregistrate prin Namecheap, au folosit servere de nume Cloudflare și au partajat infrastructura de schimb de e-mailuri. Un raport separat de la Hunt.io, publicat la 11 martie, a documentat un model mai larg de abuz prin phishing pe platforma Cloudflare, identificând peste 60.000 de linkuri de phishing care vizează Microsoft, DHL și alte mărci prin Cloudflare IPFS Gateways și Workers.
O tensiune la nivel de industrie
Campania evidențiază o tensiune între capacitățile de protecție pe care platforme precum Cloudflare le oferă clienților legitimi și riscul ca aceleași funcționalități să poată fi transformate în arme. Propriul Raport de Amenințări 2026 al Cloudflare a observat că adversarii țintesc activ instrumentele cloud legitime pentru a camufla acțiuni rău intenționate în cadrul activităților benigne ale întreprinderilor. DomainTools a îndemnat furnizorii de servicii să „accepte o responsabilitate mai mare în a-și cunoaște clienții și a se asigura că capacitățile de securitate ale platformei lor nu sunt folosite pentru a proteja activ campanii rău intenționate”.
Surse:
https://dti.domaintools.com/securitysnacks/securitysnack-cloudflare-anti-security-for-phishing
https://hunt.io/blog/exposing-large-scale-phishing-activity-abusing-cloudflare