网络安全研究人员警告说，随着威胁行为者继续滥用 Cloudflare 和 Microsoft Sway 等合法服务，使用名为 Webflow 的建站工具创建的钓鱼网页数量激增。

Netskope威胁实验室研究员扬-迈克尔-阿尔坎塔拉（Jan Michael Alcantara）在一份分析报告中说：“这些活动的目标是来自不同加密钱包的敏感信息，包括Coinbase、MetaMask、Phantom、Trezor和Bitbuy，以及多个公司网络邮件平台的登录凭证和微软365的登录凭证。”

这家网络安全公司称，它追踪到，2024 年 4 月至 9 月间，使用 Webflow 制作的钓鱼网页流量增加了 10 倍，攻击目标遍布全球 120 多个组织。其中大部分攻击目标位于北美和亚洲，涉及金融服务、银行和技术领域。

据观察，攻击者利用 Webflow 创建独立的网络钓鱼网页，并将毫无戒心的用户重定向到他们控制的其他网络钓鱼网页。

Michael Alcantara 说：“前者为攻击者提供了隐蔽性和便利性，因为没有钓鱼代码行需要编写和检测，而后者则为攻击者提供了灵活性，可以根据需要执行更复杂的操作。”

Webflow 比 Cloudflare R2 或 Microsoft Sway 更吸引人的地方在于，它允许用户免费创建自定义子域，而不是容易引起怀疑的自动生成随机字母数字子域。

• Cloudflare R2 – https://pub-<32_alphanumeric_string>.r2.dev/webpage.htm
• Microsoft Sway – https://sway.cloud.microsoft/{16_alphanumeric_string}?ref={sharing_option}

为了增加攻击成功的可能性，钓鱼网页被设计成模仿合法对应网页的登录页面，以欺骗用户提供他们的凭据，然后在某些情况下，这些凭据会被外泄到不同的服务器上。

Netskope 表示，它还发现了一些 Webflow 加密诈骗网站，这些网站使用合法钱包主页的截图作为自己的登陆页面，访问者点击假网站上的任何地方后都会重定向到实际的诈骗网站。

加密网络钓鱼活动的最终目的是窃取受害者的种子短语，使攻击者能够劫持加密货币钱包的控制权并盗取资金。

在网络安全公司确定的攻击中，最终提供恢复短语的用户会看到一条错误信息，称其账户因 “未经授权的活动和身份验证失败 ”而被暂停。该信息还提示用户通过在 tawk.to 上发起在线聊天来联系他们的支持团队。

值得注意的是，LiveChat、Tawk.to 和 Smartsupp 等聊天服务已被滥用，成为 Avast 称为 CryptoCore 的加密货币诈骗活动的一部分。

迈克尔-阿尔坎塔拉说：“用户在访问银行门户网站或网络邮件等重要页面时，应始终在网络浏览器中直接输入网址，而不是使用搜索引擎或点击任何其他链接。”

就在网络犯罪分子在暗网上大肆宣传新型反僵尸服务的同时，这项服务声称可以绕过谷歌 Chrome 浏览器上的安全浏览警告。

SlashNext在最近的一份报告中说：“反僵尸服务，如Otus Anti-Bot、Remove Red和Limitless Anti-Bot，已经成为复杂网络钓鱼行动的基石。“这些服务旨在防止安全爬虫识别网络钓鱼网页并将其屏蔽。”

“这些工具通过过滤网络安全机器人和伪装网络钓鱼网页，延长了恶意网站的生命周期，帮助犯罪分子更长时间地逃避检测。”

还发现正在进行的恶意垃圾邮件和恶意广告活动在传播一种名为 WARMCOOKIE（又名 BadSpace）的不断演变的恶意软件，该恶意软件随后成为 CSharp-Streamer-RAT 和 Cobalt Strike 等恶意软件的传播渠道。

“WarmCookie 为对手提供了各种有用的功能，包括有效载荷部署、文件操作、命令执行、屏幕截图收集和持久性，这使得它在获得初始访问权限后就能在系统中使用，以方便在被入侵的网络环境中进行长期、持久的访问，”Cisco Talos 说。

对源代码的分析表明，该恶意软件很可能是由与Resident相同的威胁参与者开发的，Resident是一种入侵后植入程序，与Rhadamanthys信息窃取程序一起部署在被称为TA866（又名Asylum Ambuscade）的入侵程序集中。这些活动主要针对制造业，紧随其后的是政府和金融服务业。

“Talos说：”虽然与传播活动相关的长期目标似乎是不加区分的，但观察到后续有效载荷的大多数案例都发生在美国，其他案例遍布加拿大、英国、德国、意大利、奥地利和荷兰。”