Negli ultimi mesi, l'uso di strumenti legittimi come Webflow per scopi di phishing è aumentato in modo significativo. I criminali informatici stanno sfruttando questa piattaforma per creare pagine di phishing con l'obiettivo di rubare credenziali sensibili degli utenti. Webflow, noto per la sua facilità d'uso, permette agli utenti di creare sottodomini personalizzati senza costi aggiuntivi, un vantaggio che rende più difficile per le vittime identificare le frodi rispetto all'uso di subdomini generati automaticamente da servizi come Cloudflare R2 o Microsoft Sway.

Le campagne di phishing prendono di mira informazioni sensibili da portafogli di criptovalute come Coinbase, MetaMask, Phantom, Trezor e Bitbuy, e credenziali di accesso di piattaforme webmail aziendali e Microsoft 365. I ricercatori di Netskope Threat Labs hanno osservato un aumento di dieci volte nel traffico verso pagine di phishing create con Webflow tra aprile e settembre 2024. Queste attività hanno colpito oltre 120 organizzazioni a livello globale, con una concentrazione significativa nel settore dei servizi finanziari, bancari e tecnologici in Nord America e Asia.

Gli attaccanti usano Webflow per creare pagine di phishing autonome o per reindirizzare gli utenti a pagine di phishing sotto il loro controllo. La creazione di pagine che imitano i login di siti legittimi inganna gli utenti, spingendoli a fornire le loro credenziali, che vengono poi trasferite a server controllati dai criminali. Alcuni siti Webflow di phishing utilizzano screenshot di portafogli legittimi come pagine di atterraggio e reindirizzano i visitatori al sito fraudolento al clic.

L'obiettivo finale di queste campagne di phishing è ottenere le frasi di recupero delle vittime, permettendo così agli attaccanti di prendere il controllo dei portafogli di criptovalute e svuotare i fondi. Gli utenti che forniscono la frase di recupero ricevono un messaggio di errore che segnala la sospensione dell'account per "attività non autorizzata e mancata identificazione", e vengono invitati a contattare il supporto tramite chat online su servizi come tawk.to.

Attualmente, i criminali informatici pubblicizzano servizi anti-bot sul dark web per bypassare gli avvisi di Google Safe Browsing su Chrome. Servizi come Otus Anti-Bot, Remove Red e Limitless Anti-Bot aiutano a mascherare le pagine di phishing dai crawler di sicurezza, prolungando la vita utile dei siti malevoli e sfuggendo alla rilevazione.

Oltre alle campagne di phishing, sono emerse anche campagne di malspam e malvertising che diffondono un malware in evoluzione noto come WARMCOOKIE. Questo malware facilita l'accesso prolungato e persistente nei sistemi compromessi, mostrando una gamma di funzionalità utili per gli avversari, tra cui il dispiegamento di payload e la raccolta di screenshot.