O uso do Cloudflare R2 por agentes de ameaças para hospedar páginas de phishing aumentou 61 vezes nos últimos seis meses.
A maioria das campanhas de phishing tem como alvo as credenciais de login da Microsoft, embora existam algumas páginas que visam Adobe, Dropbox e outros aplicativos em nuvem.
As campanhas de phishing identificadas não apenas abusam do Cloudflare R2 para distribuir páginas estáticas de phishing, mas também aproveitam a oferta Turnstile da empresa, uma substituição do CAPTCHA, para colocar essas páginas atrás de barreiras anti-bot para evitar a detecção.
Ao fazer isso, evita que scanners online como o urlscan.io alcancem o site de phishing real, pois o teste CAPTCHA resulta em falha.
Como uma camada adicional de evasão de detecção, os sites maliciosos são projetados para carregar o conteúdo somente quando certas condições forem atendidas.