Contexte: sicuranext.com (Claudio Bono) publie une analyse CTI basée sur un pipeline d’intelligence temps réel (SSL/TLS et centaines de sources), couvrant le dernier trimestre avec 42 000+ URLs et domaines actifs liés à des kits de phishing, C2 et livraison de payloads.

🔎 Infrastructures et hébergement

  • 68% de l’infrastructure de phishing observée se trouve derrière Cloudflare (AS13335), devant GCP (13,5%), AWS (8,6%) et Azure (5,4%).
  • Sur 12 635 IPs uniques, 51,54% sont en hébergement direct (infrastructures jetables), 48,46% protégées par CDN/proxy (dont 92% via Cloudflare), rendant le blocage IP largement inefficace sur près de la moitié du paysage.
  • Fiabilité opérationnelle élevée: 96,16% de taux moyen de résolution DNS.

🕸️ Abus de confiance et TLDs utilisés

  • Les attaquants privilégient des TLD perçus comme légitimes: .com (11 324), .dev (7 389), .app (2 992), .io (2 425), .cc (1 745), avec un ciblage accru des développeurs (faux OAuth GitHub, pages Vercel, faux sites npm).
  • 72% des domaines usent d’obfuscation via des services légitimes: Vercel (1 942), GitHub Pages (1 540), GoDaddy Sites (734), Webflow (669), compliquant les politiques de blocage par réputation de domaine.

🧪 PhaaS et contournement MFA (AitM)

  • Phishing-as-a-Service: plateformes comme Caffeine (offline) et W3LL fournissent hébergement, templates, pipelines d’exfiltration et support client.
  • Kits AitM tels qu’EvilProxy et Tycoon 2FA volent les cookies de session après authentification, contournant mot de passe et MFA.
  • Évasions courantes: géofencing, cloaking par User-Agent (pages finales visibles surtout sur mobile), détection DevTools, CAPTCHA Cloudflare. 20 clusters distincts ont été corrélés par empreintes d’infrastructure; près de 60% des IOCs seraient liés au PhaaS.

🎯 Cibles et usurpations de marques

  • Meta domine: 10 267 mentions (42% des usurpations). Autres cibles: Amazon (2 617), Netflix (2 450), PayPal (1 993), Stripe (1 571), avec une focalisation croissante sur la fraude financière et la compromission de comptes marchands.

🛡️ Pistes de défense évoquées

  • Détection consciente des CDN (le blocage IP est efficace à ~50% seulement).
  • Analyse comportementale centrée sur les anomalies de session.
  • Empreintes TLS et suivi des patterns/rythmes d’émission de certificats.
  • Chasse aux indicateurs PhaaS via le clustering d’infrastructure.
  • Sensibilisation axée sur des scénarios réels (au-delà des fautes d’orthographe ou du simple http/https).

IOCs et TTPs

  • IOCs (agrégés): 42 000+ URLs/domaines actifs; forte concentration sur AS13335 (Cloudflare); TLDs principaux (.com, .dev, .app, .io, .cc); plateformes utilisées (Vercel, GitHub Pages, GoDaddy Sites, Webflow).
  • TTPs: AitM pour vol de cookies de session (bypass MFA), géofencing, cloaking par User-Agent, détection DevTools, usage de CAPTCHA Cloudflare, hébergement direct vs proxy/CDN, obfuscation via services légitimes, clustering d’infrastructure par certificats et rotations IP.

Conclusion: Il s’agit d’une analyse de menace détaillant l’industrialisation du phishing, ses infrastructures, TTPs et cibles, avec des données quantitatives et des axes de détection.

🧠 TTPs et IOCs détectés

TTPs

Phishing-as-a-Service (PhaaS), contournement MFA via Attack-in-the-Middle (AitM) pour vol de cookies de session, géofencing, cloaking par User-Agent, détection des outils de développement (DevTools), utilisation de CAPTCHA Cloudflare, hébergement direct vs proxy/CDN, obfuscation via services légitimes, clustering d’infrastructure par certificats et rotations IP

IOCs

42 000+ URLs/domaines actifs, forte concentration sur AS13335 (Cloudflare), TLDs principaux (.com, .dev, .app, .io, .cc), plateformes utilisées (Vercel, GitHub Pages, GoDaddy Sites, Webflow)

🔗 Source originale : https://blog.sicuranext.com/68-of-phishing-websites-are-protected-by-cloudflare/