#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Во втором квартале 2023 г. атака с использованием маяков CobaltStrike и DroxiDat, нового варианта полезной нагрузки SystemBC, была направлена на критически важную инфраструктуру в одной из стран Южной Африки. Анализ инцидента показал, что злоумышленниками, скорее всего, были русскоязычные RaaS-киберпреступники, нацеленные на индустрию здравоохранения.
-----

Во втором квартале 2023 года на объект критической инфраструктуры в одной из стран Южной Африки была совершена атака с использованием маяков CobaltStrike и DroxiDat - нового варианта полезной нагрузки SystemBC. SystemBC, предлагаемый в качестве вредоносного ПО как услуги с 2018 года, представляет собой вредоносный бэкдор, используемый для кражи системной информации, создания и удаления ключей и значений реестра, выполнения файлов и реализации возможностей клиента mini-TOR.

Злоумышленники использовали один и тот же каталог perflogs, последовательно сопрягая SystemBC с Cobalt Strike. Общие данные профилей на хостах Cobalt Strike позволили предположить, что злоумышленники могли быть русскоязычными и, скорее всего, принадлежали к группе, известной как Pistachio Tempest или FIN12, которая в 2022 году атаковала индустрию здравоохранения.

Полезная нагрузка DroxiDat/SystemBC была впервые обнаружена в тысячах объектов, используемых длинным списком филиалов ransomware. Это простой профилировщик системы, который получает имя/имя пользователя активной машины, локальный IP и серийную информацию о томе, а также может соединяться с удаленными слушателями, шифровать и отправлять собранную системную информацию. Его непосредственным адресатом в C2 является 93.115.25.41:443. Третий объект DroxiDat был отправлен на сервер с возможностью добавления исполняемых записей в ключ реестра Software\Microsoft\Windows\CurrentVersion\Run.

В системе также были обнаружены маяки Cobalt Strike, расположенные в том же каталоге и имеющие схожую инфраструктуру. Маячки имели C2, посвященные энергетике, такие как powersupportplan.com и epowersoftware.com, с одинаковым значением license_id "license_id": "0x282d4156". ssh-сервер на хосте epowersoftware имел ту же версию ssh и RSA-ключ(и), что и сервер на powersupportplan.com.

Дальнейший анализ инцидента показал, что наряду с DroxiDat злоумышленники также развернули вымогательское ПО Nokoyawa, что свидетельствует о том, что их целью, скорее всего, было здравоохранение. Хотя связь с APT так и не была установлена, постоянное использование одного и того же каталога perflogs в нескольких инцидентах, последовательное сопряжение SystemBC и CobaltStrike, а также общие данные профилей узлов CobaltStrike позволили подтвердить, что злоумышленники, скорее всего, являются русскоязычными RaaS-киберпреступниками.

#ParsedReport #CompletenessHigh
10-08-2023

Unraveling Scattered Spider: A Stealthy and Persistent Threat Actor Targeting Telecom Networks

https://www.avertium.com/resources/threat-reports/unraveling-scattered-spider-a-stealthy-and-persistent-threat-actor

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: financially_motivated)
Lazarus

Threats:
Byovd_technique
Anydesk_tool
Dwservice_tool
Logmein_tool
Screenconnect_tool
Teamviewer_tool
Sorillus_rat
Rustscan_tool
Blackbyte
Aitm_technique

Victims:
Telecom and business process outsourcing sectors

Industry:
Financial, Healthcare, Telco, Bp_outsourcing

Geo:
Canada, Netherlands, North-korean, Belgium, France, Italy, Germany, Australia, Japan

CVEs:
CVE-2019-16098 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Unavailable
Soft:
- msi afterburner (4.6.2.15658)

CVE-2021-21551 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- dell dbutil 2 3.sys (-)

CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Unavailable
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)

CVE-2021-35464 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- forgerock am (<6.5.3)
- forgerock openam (<14.6.3)


TTPs:
Tactics: 4
Technics: 6

IOCs:
Domain: 3
Hash: 18
IP: 10

Soft:
telegram, esxi, rsocx, azuread, beanywhere, domotz, pulseway, rport, trendmicro basecamp, zerotier, have more...

Algorithms:
sha256, sha1

Functions:
DbgPrintEx

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Scattered Spider - это финансово мотивированный угрожающий агент, использующий тактику социальной инженерии и старые уязвимости ядра для проникновения на целевые устройства, и организации должны предпринять шаги для предотвращения его проникновения в свои сети путем внедрения средств контроля безопасности, обнаружения, MFA и систем исправления.
-----

Scattered Spider, или UNC3944, - финансово мотивированный угрожающий агент, известный своим умным использованием тактики социальной инженерии для проникновения на целевые устройства. В декабре 2022 года компания CrowdStrike обнаружила кампанию Scattered Spider, направленную на телекоммуникационный сектор и сектор аутсорсинга бизнес-процессов с целью проникновения в сети мобильных операторов. С тех пор активность злоумышленников не прекращалась, и они даже попытались использовать старую уязвимость вредоносного драйвера ядра (CVE-2015-2291) в драйвере диагностики Intel Ethernet одной из целевых систем.

Scattered Spider использует методы социальной инженерии, такие как телефонные звонки, SMS и Telegram, чтобы выдать себя за ИТ-персонал и получить первичный доступ. Скомпрометированные учетные данные также используются для получения несанкционированного доступа к арендатору Azure. Попав внутрь, Scattered Spider использует утилиты и средства удаленного мониторинга и управления для поддержания постоянного доступа. Чтобы избежать обнаружения, они используют стандартную схему именования при подключении собственных систем к VPN-соединениям организации-жертвы и имитируют принятые в организации соглашения об именовании при настройке систем в инфраструктуре виртуальных рабочих столов. Кроме того, Scattered Spider ориентируется на гипервизоры VMware ESXi, устанавливая на ESXi-устройство два специфических инструмента: реверсивный прокси с открытым исходным кодом rsocx и средство удаленного мониторинга и управления (RMM) Level.

Угрожающий агент также пытается развернуть атаку Bring Your Own Vulnerable Driver (BYOVD) через старую уязвимость ядра (CVE-2015-2291). BYOVD позволяет использовать известные уязвимости в драйверах сторонних производителей, что приводит к компрометации системы, финансовым потерям и сбоям в работе. Компания Microsoft планировала блокировать драйверы с подтвержденными недостатками безопасности на устройствах под управлением Windows 10 с помощью технологий Defender for Endpoint attack surface reduction (ASR) и Windows Defender Application Control (WDAC). Однако в октябре 2022 года два тревожных инцидента пролили свет на опасность атак типа "принеси свое собственное уязвимое устройство" (BYOVD), подчеркнув потенциальные угрозы, с которыми сталкиваются организации.

Организации должны знать об инструментах и тактике, используемых Scattered Spider, и принимать меры по предотвращению их проникновения в свои сети. Для противодействия эволюционирующим угрозам, исходящим от этих противников, должны быть внедрены средства контроля и обнаружения. Для защиты учетных данных пользователей должна использоваться многофакторная аутентификация (MFA), пользователи должны быть осведомлены о тактике фишинга, а системы должны регулярно исправляться и обновляться. Кроме того, организации должны следить за своими сетями на предмет подозрительной активности и иметь планы реагирования на инциденты в случае утечки данных. Принятие этих мер позволяет снизить риск стать жертвой атаки Scattered Spider.

#ParsedReport #CompletenessHigh
11-08-2023

Stealthy Malicious MSI Loader Overlapping Technique and Infrastructure with BatLoader

https://www.cyfirma.com/outofband/stealthy-malicious-msi-loader-overlapping-technique-and-infrastructure-with-batloader

Report completeness: High

Threats:
Msi_loader
Batloader
Anydesk_tool
Emotet
Trickbot
Kovter
Andromeda
Carberp
Gozi
Process_injection_technique

Victims:
Organizations and individuals relying on windows operating systems

Industry:
Healthcare, Government, Financial

Geo:
Netherlands, Australia, Russia, Canada, America, Russian, Korea, Germany

TTPs:
Tactics: 6
Technics: 10

IOCs:
File: 3
Domain: 2
Url: 1
Path: 2
Hash: 2
IP: 3

Soft:
windows defender, net framework, microsoft windows defender

Algorithms:
exhibit, sha256

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 1, table: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследовательская группа Cyfirma Research обнаружила рекламируемый на подпольных форумах вредоносный MSI Loader, способный ускользать от обнаружения Windows Defender и Virus Total. Он используется в различных кампаниях по распространению вредоносного ПО, причем для маскировки используется настройка .NET Framework, а для широкого распространения - AnyDesk. Это создает высокий риск проникновения вредоносного ПО и компрометации данных.
-----

Команда Cyfirma Research обнаружила вредоносный MSI Loader, рекламируемый на подпольных форумах российским агентом угроз.

При установке загрузчик может маскироваться под доброкачественное обновление или установку .NET Framework и использоваться для запуска вредоносных программ на компьютерах ничего не подозревающих пользователей.

Угрожающий агент использует функцию Custom Action формата пакета MSI для выполнения сценария PowerShell, который выступает в роли загрузчика, загружающего ресурс с указанного URL.

Наши исследования OSINT позволили установить связь между MSI Loader и кампанией BatLoader, появившейся в марте 2023 года.

Виктимология загрузчика охватывает широкий круг потенциальных целей: под его действие попадают как организации, так и частные лица, работающие под управлением операционных систем Windows.

Способность загрузчика эффективно обходить как сканирование во время выполнения Windows Defender, так и VT-сканирование делает его мощной и неуловимой угрозой.

Угрожающий агент использует установку .NET Framework и приложение для удаленного рабочего стола AnyDesk в качестве маскировки для загрузчика, что говорит о расчетливой попытке использовать доверенные приложения для широкого распространения.

#ParsedReport #CompletenessHigh
10-08-2023

JanelaRAT: Repurposed BX Rat Variant Targeting LATAM FinTech

https://www.zscaler.com/blogs/security-research/janelarat-repurposed-bx-rat-variant-targeting-latam-fintech

Report completeness: High

Actors/Campaigns:
Blindeagle

Threats:
Janelarat
Dll_sideloading_technique
Pasta
Eazobfuscator_tool
Bancos

Victims:
Fintech users in the latam region

Industry:
Financial, Energy, Transport

Geo:
Portuguese, Mexico, Latam, American, Peru, Colombia

TTPs:
Tactics: 1
Technics: 13

IOCs:
Hash: 81
Path: 2
Url: 3
File: 24
Domain: 32
Command: 1
Registry: 1
IP: 6

Soft:
microsoft edge

Crypto:
solana, bitcoin, ethereum

Algorithms:
base64, aes, sha256, sha1, zip, cbc, rc4

Functions:
main, fetchemall

Win API:
GetLastInputInfo, SendMessage, ShowWindow

Languages:
visual_basic, python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Наша исследовательская группа в Zscaler ThreatLabz обнаружила JanelaRAT, сильно модифицированный вариант BX RAT, нацеленный на финансовые учреждения в странах Латинской Америки. JanelaRAT отличается сложной цепочкой атак, мерами защиты от обнаружения и стратегической тактикой взаимодействия. Для JanelaRAT доступно покрытие Zscaler по индикаторам компрометации.
-----

В июне 2023 года исследовательская группа Zscaler ThreatLabz обнаружила агента угроз, нацеленного на пользователей FinTech в регионе LATAM. JanelaRAT использует несколько тактик, техник и процедур (TTP), таких как боковая загрузка DLL, динамическая инфраструктура C2 и многоступенчатая атака. Последняя вредоносная программа, участвующая в этой кампании, представляет собой сильно модифицированный вариант BX RAT и поэтому получила название JanelaRAT.

Атакующая цепочка начинается с VBScript, отправляемого внутрь ZIP-архивов. После извлечения VBScript извлекает другой ZIP-архив и сбрасывает на конечную точку BAT-файл, подготавливающий систему к следующему этапу заражения. Второй ZIP-архив содержит два компонента, которые отвечают за выполнение остальных этапов цепочки заражения. Кроме того, в нем настроен постоянный механизм, благодаря которому образец JanelaRat автоматически запускается при каждой перезагрузке системы.

JanelaRAT представляет собой DLL, загружаемую сбоку от легитимного исполняемого файла, разработанную на языке C# для Microsoft .NET 4.0 и защищенную с помощью Eazobfuscator. Большинство строк зашифровано и хранится в специальном классе в качестве средства защиты от анализа. Для защиты от обнаружения JanelaRAT переходит в состояние покоя, если время с момента последнего входного события превышает 10 минут.

Вредоносная программа взаимодействует с C2-сетью злоумышленника через домен, который всегда один и тот же. В него встроена возможность перехвата и отправки информации о скомпрометированном хосте, открытия окон сообщений и выполнения ряда других действий. Она также способна делать и отправлять скриншоты, работать в специальных режимах выполнения и собирать дополнительную информацию об использовании зараженной системы.

Ключевым сходством между JanelaRAT и BX RAT является использование португальского языка в строках вредоносной программы, метаданных, расшифрованных строках и т.д. JanelaRAT также использует ту же технику динамических DNS-сервисов для организации C2-каналов от имплантов вредоносных программ к инфраструктуре злоумышленника.

Основной целью JanelaRAT являются финансовые данные в странах Латинской Америки. В нем реализован механизм чувствительности к заголовкам окон, позволяющий вредоносной программе перехватывать данные о заголовках окон и отправлять их злоумышленникам. Также в программе используется система динамической конфигурации сокетов, создающая сеть из 44 различных вариантов ZIP-архивов, хранящихся в base64-кодировке. Это позволяет злоумышленникам оставаться незаметными и избегать обнаружения.

Полученные нами данные о JanelaRAT свидетельствуют о том, что это сильно модифицированный вариант BX RAT, используемый для атак на финансовые учреждения в странах Латинской Америки. Она построена с использованием сложной цепочки атак, мер защиты от обнаружения и стратегической тактики коммуникации. Для JanelaRAT доступно покрытие Zscaler по индикаторам компрометации (IOC), перечисленным в Приложении. В комплект поставки также включены сценарии на языке Python, позволяющие автоматизировать процесс приближения к JanelaRAT.

#technique

all shell backdoor in the world

https://github.com/beruangsalju/shell-backdoor

#technique

Havoc Framework 0.6 update

https://github.com/HavocFramework/Havoc/pull/371

#technique

TunnelCrack, a combination of two widespread security vulnerabilities in VPNs. Although a VPN is supposed to protect all data that a user transmits, our attacks can bypass the protection of a VPN. For instance, an adversary can abuse our vulnerabilities to leak and read user traffic, steal user information, or attack user devices.

https://tunnelcrack.mathyvanhoef.com/details.html

#technique

A simple tool based on ImGui which intercepts STUN traffic in order to disclose telegram users IP address.
Currently the Loader only supports Telegram but the option to inject into other applications such as Signal will be added in the next update.

https://websec.nl/downloads

#technique

Feeding Sliver — Extension Guide

https://medium.com/@l4rry/feeding-sliver-extension-guide-1c14fae42a2a

#ParsedReport #CompletenessLow
12-08-2023

Old exploit kits still kicking around in 2023

https://www.malwarebytes.com/blog/threat-intelligence/2023/08/old-exploit-kits-still-kicking-around-in-2023

Report completeness: Low

Threats:
Rig_tool
Purplefox
Lumma_stealer

Victims:
Internet explorer users

ChatGPT TTPs:
do not use without manual check
T1565.001

IOCs:
Domain: 5
IP: 1
Hash: 2

Soft:
internet explorer

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Наборы эксплойтов - это вредоносные инструменты, используемые киберпреступниками для распространения вредоносного ПО, и двумя примерами таких наборов являются наборы эксплойтов RIG и PurpleFox. Для отдельных пользователей и организаций важно обеспечить защиту своих систем от подобных атак.
-----

В 2023 году Internet Explorer все еще используется, а злоумышленники по-прежнему применяют наборы эксплойтов для распространения вредоносного ПО. Одним из таких наборов эксплойтов является набор эксплойтов RIG, который используется одним угрожающим агентом, использующим схемы трафика для взрослых. Последний экземпляр RIG был использован для распространения Lumma Stealer.

PurpleFox - это более сложная система, чем просто набор эксплойтов. Это полноценный фреймворк с возможностями руткита. Этот набор эксплойтов используется для доставки вредоносной программы PurpleFox.

Наборы эксплойтов - это вредоносные инструменты, используемые киберпреступниками для распространения вредоносного ПО. Эти наборы создаются для использования уязвимостей в системах и программах, позволяющих злоумышленникам получить доступ к компьютеру объекта атаки и развернуть вредоносное ПО.

В качестве примера можно привести набор эксплойтов RIG, который используется для доставки вредоносных программ через схемы трафика для взрослых. Последний экземпляр RIG был использован для распространения Lumma Stealer.

Еще одним примером набора эксплойтов является PurpleFox, представляющий собой более совершенный инструмент, чем RIG. Он представляет собой полноценный фреймворк с возможностями руткита и используется для доставки вредоносной программы PurpleFox.

Наборы эксплойтов - опасные инструменты в руках киберпреступников, с их помощью можно быстро распространить вредоносное ПО на большой территории. Поэтому частным лицам и организациям важно следить за тем, чтобы на их системах были установлены последние исправления безопасности и антивирусное программное обеспечение для защиты от вредоносных атак.

#ParsedReport #CompletenessLow
14-08-2023

FortiGuard AI Detects Continued OSS Supply Chain Hidden in Python Package Index

https://www.fortinet.com/blog/threat-research/continued-oss-supply-chain-attacks-hidden-in-pypi

Report completeness: Low

Threats:
Supply_chain_technique

IOCs:
Email: 1
Hash: 6
Url: 3

Soft:
discord

Languages:
python

#ParsedReport #CompletenessHigh
14-08-2023

LummaC Stealer Leveraging Amadey Bot to Deploy SectopRAT

https://cyble.com/blog/lummac-stealer-leveraging-amadey-bot-to-deploy-sectoprat

Report completeness: High

Threats:
Lumma_stealer
Amadey
Sectop_rat
Ammyyadmin_tool
Gandcrab
Ammyyrat
Lockbit
Themida_tool
Process_injection_technique
Credential_dumping_technique

Industry:
Entertainment

Geo:
Russian

TTPs:
Tactics: 7
Technics: 21

IOCs:
File: 12
Hash: 20
Url: 10
Path: 4
IP: 1

Soft:
telegram, sysinternals, chromium, chrome, mozilla firefox, microsoft edge

Wallets:
electrum, mainnet, tronlink, metamask

Crypto:
binance

Algorithms:
sha1, sha256, zip

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1, windows: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: LummaC Stealer - это вредоносная угроза, распространяемая через фишинговые сайты и письма с целью кражи конфиденциальных данных, по крайней мере, с 2022 года. Кроме того, он распространяется через YouTube и интегрируется с другими вредоносными программами для осуществления различных вредоносных действий. Недавно была обнаружена новая итерация LummaC Stealer, способная устанавливать бота Amadey, который используется для распространения программ-вымогателей и кражи данных с различных криптовалютных кошельков.
-----

Злоумышленники, создавшие LummaC Stealer, активно распространяют вредоносную программу через фишинговые сайты и spear-phishing emails как минимум с 2022 года. Цель угрозы - похитить конфиденциальные данные, такие как криптовалютные кошельки, расширения для браузеров, коды двухфакторной аутентификации и различные файлы. Недавно был обнаружен новый подход к распространению SectopRAT, который заключается в доставке полезной нагрузки с помощью вредоносной программы Amadey bot, получаемой от похитителя LummaC.

ZIP-файлы, содержащие вредоносную программу LummaC Stealer, распространяются в рамках кампании на YouTube под видом файлов настройки программного обеспечения. После выполнения файл Setup.exe становится полезной нагрузкой для исполняемого файла LummaC Stealer, который представляет собой 32-битный исполняемый файл .NET Reactor с графическим интерфейсом. Эта вредоносная программа специализируется на перехвате данных из браузеров на базе Chromium и Mozilla, включая более 70 криптовалют и расширений 2FA. Кроме того, он собирает важные системные данные, такие как версия операционной системы, идентификаторы оборудования, характеристики процессора, данные об оперативной памяти, разрешении экрана и языке системы.

Более того, новая итерация LummaC Stealer способна загружать другие вредоносные файлы в то время, когда на системе жертвы исполняется основная вредоносная программа, похищающая информацию. Такая интеграция позволяет ТА осуществлять целый ряд вредоносных действий, начиная от первоначального взлома и заканчивая извлечением данных и возможным удаленным доступом к системе.

В данной кампании LummaC Stealer используется для получения и установки бота Amadey, который связан с группировкой LOCKBIT и используется для распространения программ-вымогателей. Бот Amadey обладает различными возможностями, включая оценку системы, кражу данных и развертывание дополнительных вредоносных полезных нагрузок. Затем он выполняет загрузку SectopRAT, троянца удаленного доступа .NET, который имеет механизмы Anti-VM и Anti-Emulator для обхода обнаружения. Он способен извлекать конфиденциальные данные из более чем 35 веб-браузеров, игровых платформ и других программных приложений, а также похищать информацию из различных криптовалютных кошельков.

#ParsedReport #CompletenessLow
14-08-2023

Evasive Phishing Campaign Steals Cloud Credentials Using Cloudflare R2 and Turnstile

https://www.netskope.com/blog/evasive-phishing-campaign-steals-cloud-credentials-using-cloudflare-r2-and-turnstile

Report completeness: Low

Industry:
Financial

Geo:
Asia, America

ChatGPT TTPs:
do not use without manual check
T1566.003, T1591.001, T1595.003, T1564.005

IOCs:
Url: 65
File: 1

Links:
https://github.com/fingerprintjs/BotD

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Злоумышленники используют сервис статического хостинга Cloudflare R2 для размещения фишинговых страниц, направленных на различные облачные приложения. Чтобы избежать обнаружения, злоумышленники используют две технологии, а специалисты лаборатории Netskope Threat Labs отмечают 61-кратное увеличение трафика на эти страницы с февраля 2023 года. Для блокирования таких атак Netskope использует встроенные и внеполосные системы обнаружения фишинга на основе ML и системы анализа угроз.
-----

С мая 2022 года Cloudflare R2 предлагает услугу статического хостинга на минимальной и бесплатной основе. Этот сервис использовался злоумышленниками для размещения фишинговых страниц, направленных на Microsoft, Adobe, Dropbox и другие облачные приложения. Эти атаки были направлены преимущественно на жертв в Северной Америке и Азии, в основном в технологическом, финансовом и банковском секторах.

Злоумышленники используют две примечательные технологии для обхода обнаружения. Во-первых, они используют Cloudflare Turnstile для защиты страниц с помощью CAPTCHA, что не позволяет сканерам и анализаторам посещать URL-адреса и просматривать их содержимое, в то время как жертвы получают свободный доступ к страницам. Во-вторых, многие страницы загружают вредоносное содержимое только в том случае, если оно было передано другим вредоносным ссылающимся сайтом. Это позволяет гарантировать, что фишинговое содержимое будет передано только тем, для кого оно предназначено.

Кроме того, для обнаружения ботов на странице злоумышленники используют Fingerprint BotD, библиотеку обнаружения ботов с открытым исходным кодом. В случае обнаружения бота на странице отображается пользовательское сообщение об ошибке.

Специалисты лаборатории Netskope Threat Labs зафиксировали 61-кратное увеличение трафика на фишинговые страницы, размещенные на Cloudflare R2, начиная с февраля 2023 года. Для блокирования подобных фишинговых попыток Netskope использует встроенные и внеполосные системы обнаружения фишинга на основе технологии ML и системы анализа угроз. Пользователи также могут обнаружить похожие фишинговые страницы, размещенные на R2, проверив URL-адрес на наличие шаблона pub-*.r2.dev.