Source et contexte: Rapport de PIXM Security (Chris Cleveland) couvrant la fin août, décrivant une hausse record de campagnes de phishing ciblant des utilisateurs et administrateurs aux États‑Unis, avec abus d’infrastructures Cloudflare, Azure et Hostinger et un focus sur l’évasion des détections.

• Panorama des attaques 🎣 Plusieurs vagues ont ciblé des services Microsoft, Adobe Cloud et Paperless Post, ainsi que des comptes personnels (Yahoo, Amazon) utilisés sur des appareils professionnels. Des arnaques de support Microsoft et des kits de relais MFA ont été observés, avec des pages adaptées par géolocalisation IP et paramètres d’URL pour router les victimes vers des centres d’appels distincts.

• Techniques et contournements (TTPs)

  • Relais MFA / OTP: pages demandant des codes 6 chiffres pour capturer ou relayer en temps réel l’authentification.
  • Évasion: faux défi Cloudflare (challenge //cdn-cgi/…), HTML volumineux (~1M caractères), texte fragmenté par spans invisibles, images en data URI, peu de requêtes externes.
  • Charge utile et anti‑analyse: loader JS packé, hook presse‑papiers anti‑analyse, jetons ID par victime et codes chiffrés pour suivi individuel, scripts cachés et verrouillage du clavier.
  • Personnalisation: contenus et numéros de téléphone dynamiques selon IP et paramètres d’URL.

• Infrastructures abusées

  • Cloudflare Workers (*.workers.dev) offrant HTTPS, CDN edge et IPs Cloudflare par défaut.
  • Azure (sous-domaines .z13.web.core.windows.net), Hostinger (.hostingersite.com) et Adobe file share pour contourner les filtres de messagerie et listes de blocage.

• Ciblage et portée Clics rapportés chez des employés/administrateurs au Texas, Kentucky, Colorado, Géorgie, Californie, Massachusetts et Illinois. Les campagnes incluent Microsoft spearphish, scams de support, Adobe Cloud phishing et livraisons Paperless Post.

• Indicateurs et mesures (fidèles au texte)

  • Mitigations proposées: blocage des domaines listés, sensibilisation (y compris pages avec MFA), rappel des risques d’accès à des comptes personnels sur appareils pro, MFA sur tous les logins d’entreprise, et possibilité de démo PIXM.

• IOCs (domaines/URLs cités)

  • tgcj86gcjyp[.]z13[.]web[.]core[.]windows[.]net
  • hdbn46dhu[.]z13[.]web[.]core[.]windows[.]net
  • vtgg97gvy[.]z13[.]web[.]core[.]windows[.]net
  • asdfdgfcb17ygkjhmb[.]z13[.]web[.]core[.]windows[.]net
  • sfgd9jthg[.]z13[.]web[.]core[.]windows[.]net
  • hdbn46dhu[.]z13[.]web[.]core[.]windows[.]net
  • asfzdxgc7jh[.]z13[.]web[.]core[.]windows[.]net
  • adsdgfc12dgfc[.]z13[.]web[.]core[.]windows[.]net
  • erf86efgf[.]z13[.]web[.]core[.]windows[.]net
  • softviewt[.]de/desk/
  • darkgreen-crocodile-418773[.]hostingersite[.]com
  • lexinfoinvite[.]online
  • xed[.]draigoodro[.]com[.]de
  • peachpuff-turtle-958085[.]hostingersite[.]com
  • lph5gcy[.]8izfv5f65u[.]workers[.]dev
  • underclothes[.]primesicilia[.]it[.]com
  • ekenewrthanmoupasdertghumused[.]net
  • comforthcruisebookcrise[.]one

• TTPs (extraits du rapport)

  • Kits de phishing multi‑marques (Outlook/Office 365/Yahoo/AOL) avec flux en 2 étapes et OTP.
  • Faux challenge Cloudflare pour masquer l’hébergement et profiter de la réputation/TLS de Cloudflare.
  • Adobe file share + HTML très long (~1M caractères) pour esquiver les sandboxes.
  • JS packé, hook presse‑papiers, spans invisibles, data URIs, quasi zéro requêtes externes.
  • Personnalisation par IP, numéros via paramètres d’URL, verrouillage clavier, tokens/IDs par victime, codes chiffrés et scripts cachés.

Conclusion: Il s’agit d’une analyse de menace visant à illustrer des clusters de phishing actifs, leurs techniques d’évasion, l’infrastructure abusée et à fournir des indicateurs et mesures de mitigation.

🧠 TTPs et IOCs détectés

TTP

[‘Relais MFA/OTP’, ‘Évasion via faux défi Cloudflare’, ‘HTML volumineux (~1M caractères)’, ‘Texte fragmenté par spans invisibles’, ‘Images en data URI’, ‘Peu de requêtes externes’, ‘JS packé’, ‘Hook presse-papiers anti-analyse’, ‘Jetons ID par victime’, ‘Codes chiffrés pour suivi individuel’, ‘Scripts cachés’, ‘Verrouillage du clavier’, ‘Personnalisation par IP et paramètres d’URL’, ‘Kits de phishing multi-marques’, ‘Faux challenge Cloudflare’, ‘Adobe file share pour esquiver les sandboxes’]

IOC

[’tgcj86gcjyp.z13.web.core.windows.net’, ‘hdbn46dhu.z13.web.core.windows.net’, ‘vtgg97gvy.z13.web.core.windows.net’, ‘asdfdgfcb17ygkjhmb.z13.web.core.windows.net’, ‘sfgd9jthg.z13.web.core.windows.net’, ‘hdbn46dhu.z13.web.core.windows.net’, ‘asfzdxgc7jh.z13.web.core.windows.net’, ‘adsdgfc12dgfc.z13.web.core.windows.net’, ’erf86efgf.z13.web.core.windows.net’, ‘softviewt.de/desk/’, ‘darkgreen-crocodile-418773.hostingersite.com’, ’lexinfoinvite.online’, ‘xed.draigoodro.com.de’, ‘peachpuff-turtle-958085.hostingersite.com’, ’lph5gcy.8izfv5f65u.workers.dev’, ‘underclothes.primesicilia.it.com’, ’ekenewrthanmoupasdertghumused.net’, ‘comforthcruisebookcrise.one’]

🔗 Source originale : https://pixmsecurity.com/blog/blog/summer-phishing-floodwarning-credential-attacks-raining-down-from-cloudflare/