사이버 보안 연구자들은 최근 클라우드플레어 워커스(Cloudflare Workers)를 악용해 사용자 자격 증명을 탈취하는 피싱 캠페인의 급증을 경고했다.

이 정교한 공격 방법은 투명 피싱 또는 중간자 공격(AiTM 피싱)으로 불리며, 공격자는  클라우드플레어 워커스를 리버스 프록시로 사용해 로그인 과정에서 사용자 자격 증명, 쿠키, 토큰을 가로챈다.

이 AiTM 피싱 공격에서는 악성 행위자가 사용자가 실제 로그인 페이지에 접속하는 것처럼 보이는 피싱 사이트를 설정하여 중간에서 자격 증명과 세션 쿠키를 탈취한다. 넷스코프 연구원들은 지난 2023년 2분기부터 이러한 캠페인의 증가를 관찰했으며, 2023년 4분기와 2024년까지 계속해서 증가 추세를 보이고 있다고 밝혔다.

이 피싱 캠페인에서 주목할 만한 기술 중 하나는 HTML 스머글링이다. 이는 자바스크립트를 사용해 악성 페이로드를 피해자의 브라우저 내에서 직접 구성함으로써 네트워크 보안 조치를 회피하는 방법이다. 이 방법은 전통적인 탐지 메커니즘을 피하기 위해 점점 더 많이 사용되고 있다.

클라우드플레어 워커스를 타깃으로한 피싱 캠페인은 주로 아시아, 북미, 남유럽의 피해자를 대상으로 하며, 기술, 금융 서비스, 은행 분야를 중점적으로 공격하고 있다. 공격자는 마이크로소프트 365와 같은 서비스의 가짜 로그인 페이지를 통해 중요한 문서나 메시지를 열람하도록 유도한다.

이 공격이 특히 위험한 점은 MFA를 우회할 수 있다는 것이다. Tycoon 2FA 피싱 키트와 같은 도구를 사용해 공격자는 MFA 토큰과 세션 쿠키를 가로채며, 이를 통해 MFA가 제공하는 추가 보안을 무력화한다. 이는 사용자에게 가짜 MFA 프롬프트를 제시하고 제공된 정보를 사용해 무단 접근을 얻는 방식으로 이루어진다.

이러한 위협에 맞서기 위해 조직은 고급 위협 탐지 시스템과 피싱 시도를 인식하는 방법에 대한 사용자 교육을 포함한 종합적인 보안 전략을 구현하는 것이 중요하다. 공격자는 끊임없이 혁신하고 있으므로, 정보를 지속적으로 업데이트하고 경계를 유지하는 것이 최선의 방어 수단이다.

이와 관련한 자세한 정보와 방어 전략에 대한 분석은 넷스코프, 마이크로소프트, 실리콘엔젤의 상세 분석 자료를 참조하면 된다.