fermer
fermer
Le réseau de demain
Le réseau de demain
Planifiez votre chemin vers un réseau plus rapide, plus sûr et plus résilient, conçu pour les applications et les utilisateurs que vous prenez en charge.
          Essayez Netskope
          Mettez la main à la pâte avec la plateforme Netskope
          C'est l'occasion de découvrir la plateforme Netskope One single-cloud de première main. Inscrivez-vous à des laboratoires pratiques à votre rythme, rejoignez-nous pour des démonstrations mensuelles de produits en direct, faites un essai gratuit de Netskope Private Access ou participez à des ateliers dirigés par un instructeur.
            Un leader sur SSE. Désormais leader en matière de SASE à fournisseur unique.
            Un leader sur SSE. Désormais leader en matière de SASE à fournisseur unique.
            Netskope fait ses débuts en tant que leader dans le Magic Quadrant™ de Gartner® pour le SASE à fournisseur unique.
              Sécuriser l’IA générative pour les nuls
              Sécuriser l’IA générative pour les nuls
              Découvrez comment votre organisation peut concilier le potentiel d'innovation de l'IA générative avec des pratiques robustes en matière de sécurité des données.
                Prévention des pertes de données (DLP) pour les Nuls eBook
                La prévention moderne des pertes de données (DLP) pour les Nuls
                Obtenez des conseils et des astuces pour passer à un système de prévention des pertes de données (DLP) dans le nuage.
                  Réseau SD-WAN moderne avec SASE pour les nuls
                  SD-WAN moderne pour les nuls en SASE
                  Cessez de rattraper votre retard en matière d'architecture de réseau
                    Identification des risques
                    Advanced Analytics transforme la façon dont les équipes chargées des opérations de sécurité utilisent les données pour mettre en œuvre de meilleures politiques. Avec Advanced Analytics, vous pouvez identifier les tendances, cibler les domaines préoccupants et utiliser les données pour prendre des mesures.
                        Les 6 cas d'utilisation les plus convaincants pour le remplacement complet des anciens VPN
                        Les 6 cas d'utilisation les plus convaincants pour le remplacement complet des anciens VPN
                        Netskope One Private Access est la seule solution qui vous permet d'abandonner définitivement votre VPN.
                          Colgate-Palmolive protège sa "propriété intellectuelle" "grâce à une protection des données intelligente et adaptable
                          Colgate-Palmolive protège sa "propriété intellectuelle" "grâce à une protection des données intelligente et adaptable
                            Netskope GovCloud
                            Netskope obtient l'autorisation FedRAMP High Authorization
                            Choisissez Netskope GovCloud pour accélérer la transformation de votre agence.
                              Faisons de grandes choses ensemble
                              La stratégie de commercialisation de Netskope privilégie ses partenaires, ce qui leur permet de maximiser leur croissance et leur rentabilité, tout en transformant la sécurité des entreprises.
                                Solutions Netskope
                                Netskope Cloud Exchange
                                Netskope Cloud Exchange (CE) fournit aux clients de puissants outils d'intégration pour tirer parti des investissements dans leur dispositif de sécurité.
                                  Support technique de Netskope
                                  Support technique de Netskope
                                  Nos ingénieurs d'assistance qualifiés sont répartis dans le monde entier et possèdent des expériences diverses dans les domaines de la sécurité du cloud, des réseaux, de la virtualisation, de la diffusion de contenu et du développement de logiciels, afin de garantir une assistance technique rapide et de qualité
                                    Vidéo Netskope
                                    Formation Netskope
                                    Grâce à Netskope, devenez un expert de la sécurité du cloud. Nous sommes là pour vous aider à achever votre transformation digitale en toute sécurité, pour que vous puissiez profiter pleinement de vos applications cloud, Web et privées.

                                      New Phishing Campaign Abuses Webflow, SEO, and Fake CAPTCHAs

                                      Feb 12 2025

                                      Summary

                                      Netskope Threat Labs is tracking a widespread phishing campaign affecting hundreds of Netskope customers and thousands of users. The campaign aims to steal credit card information to commit financial fraud, and has been ongoing since the second half of 2024. The attacker targets victims searching for documents on search engines, resulting in access to malicious PDF that contains a CAPTCHA image embedded with a phishing link, leading them to provide sensitive information. All malicious PDFs are hosted on the Webflow CDN.

                                      CategoryDescription
                                      HostingWebflow
                                      Domainassets.website-files[.]com
                                      Top targeted industriesTechnology, Manufacturing, and Banking
                                      Top targeted regionsNorth America, Asia, and Southern Europe
                                      Information targetedCredit card information, email address, first and last name.
                                      Attack vectorSearch engines

                                      Search engine serving phishing PDFs

                                      The phishing campaign Netskope Threat Labs has been tracking abuses Webflow CDN to host malicious PDFs. While Webflow offers CDN storage for customer assets, this service is misused to store malicious PDF files. These PDFs appear in search engine results when victims search targeted keywords, such as book titles, documents and charts. The PDF files contain multiple targeted keywords that victims are likely to search for. The malicious PDF files are used to redirect users to phishing websites using fake CAPTCHA images.

                                      Phishing PDFs as a search result
                                      PDF containing search search engine keywords

                                      Phishing link embedded in CAPTCHA

                                      Netskope Threat Labs recently reported a malware campaign using a deceptive CAPTCHA technique to trick victims into running malicious scripts. This time, attackers use CAPTCHA for phishing by embedding the phishing URL in a CAPTCHA image inside the malicious PDF file, redirecting users to phishing pages when they attempt to solve the challenge. 

                                      Ironically, when you click the CAPTCHA button, you will be redirected to an actual Cloudflare Turnstile CAPTCHA. This creates the illusion that the original fake CAPTCHA was real, potentially tricking victims into believing they’re interacting with a genuine security check. Like with previously reported phishing campaigns, attackers are known to hide their phishing pages under CAPTCHAs to avoid being detected by static scanners.

                                      After completing the Cloudflare CAPTCHA, they are redirected to a forum where a file is offered, named after the search engine keyword they used to find the site.

                                      When the victim attempts to download the document, they will be asked to sign up for their page, providing their email address and first and last name.

                                      To complete the sign up process, the victim is then asked for their credit card details. Upon entering credit card details, the attacker will send an error message to indicate that it was not accepted. If the victim submits their credit card details two or three more times, they will be redirected to an HTTP 500 error page.

                                      Error message when submitting credit card details two or three times.

                                      Conclusion

                                      Attackers are targeting victims searching for documents on search engines to siphon away their financial and personal information. They use SEO techniques to lead victims into accessing malicious PDF files hosted on the Webflow CDN, which contain a fake CAPTCHA image. Attackers embed phishing links into the fake CAPTCHA image to redirect victims to the phishing website. They use Cloudflare Turnstile to deceive victims they are solving a legitimate CAPTCHA, while also protecting their phishing pages from static scanners. Netskope Threat Labs will continue to track and respond to these phishing campaigns.

                                      Netskope Detection

                                      • Netskope Threat Protection
                                        • Document-PDF.Trojan.Heuristic
                                        • Document-PDF.Phishing.Generic
                                        • Document-PDF.Spam.Heuristic
                                      • Netskope Advanced Threat Protection provides proactive coverage against this threat
                                        • Gen.Detect.By.NSCloudSandbox.tr

                                      Disclosure

                                      The URLs were reported to Webflow on January 23, 2025. 

                                      Data Analysis

                                      The analysis presented in this blog post is based on anonymized usage data collected by the Netskope Security Cloud platform relating to a subset of Netskope customers with prior authorization.

                                      IOCs

                                      All the IOCs related to this campaign can be found in our GitHub repository.

                                      author image
                                      Jan Michael Alcantara
                                      Jan Michael Alcantara is an experienced incident responder with a background on forensics, threat hunting, and incident analysis.
                                      Jan Michael Alcantara is an experienced incident responder with a background on forensics, threat hunting, and incident analysis.

                                      Restez informé !

                                      Abonnez-vous pour recevoir les dernières nouvelles du blog de Netskope