Cloudflare Pages als Tarnung: Weiterleitungsnetzwerk verteilt Malware über 250 gefälschte Blogs

Malware-Analyst Anurag Gawande hat eine umfangreiche Infrastruktur aufgedeckt, bei der Angreifer die Hosting-Plattform Cloudflare Pages systematisch für die Verbreitung von Schadsoftware missbrauchen. Die Kampagne nutzt scheinbar harmlose Blog-Artikel als Einstiegspunkte und leitet Nutzer über ein ausgeklügeltes Verteilungssystem zu verschiedenen schadhaften Zielen weiter. Die Aktivitäten lassen sich über einen Zeitraum von mindestens fünf Monaten nachverfolgen.

Täuschend echte Inhalte als Köder

Die entdeckte Infrastruktur basiert auf einer ausgefeilten Methode: Über die Domain pages.dev werden vermeintlich legitime Artikel zu Themen wie dem Vermögen von Prominenten oder Spiele-Hilfestellungen bereitgestellt. Diese Inhalte sind für Suchmaschinen optimiert und werden in den Google-Suchergebnissen indexiert, was die Reichweite erheblich vergrößert.

Wenige Sekunden nach dem Laden der Seite erscheint ein Modal-Fenster mit der Aufforderung „Weiterlesen“ oder „Continue Read“. Die Weiterleitung erfolgt ausschließlich nach einem aktiven Klick des Nutzers – eine Strategie, die automatisierte Sicherheitssysteme umgeht, da diese typischerweise keine Interaktionen simulieren.

Umfang und Persistenz der Kampagne

Die Analyse ergab mehr als 250 verschiedene URLs, die ein identisches Erscheinungsbild und Verhalten aufweisen. Sämtliche Seiten nutzen dieselbe Vorlage, was auf ein zentral verwaltetes System hindeutet. Daten von URLScan belegen, dass diese Aktivitäten bereits seit etwa fünf Monaten nachweisbar sind – ein ungewöhnlich langer Zeitraum für derartige Operationen.

Die Indizierung durch Suchmaschinen erhöht die Wahrscheinlichkeit deutlich, dass reguläre Nutzer auf diese Inhalte stoßen. Diese Kombination aus Persistenz und Sichtbarkeit unterscheidet die Kampagne von vielen kurzlebigen Angriffen.

Technischer Ablauf der Weiterleitung

Die technische Umsetzung erfolgt über eine verzögerte Anzeige des Modal-Fensters und eine JavaScript-basierte Weiterleitung nach dem Klick. Eine zentrale Beobachtung: Die meisten analysierten Seiten leiten zu demselben Ziel weiter. Dies deutet darauf hin, dass die pages.dev-Websites nicht eigenständige Phishing-Seiten sind, sondern als Traffic-Verteiler fungieren.

Der URL-Parameter „key“ in den Weiterleitungen scheint gezielt eingesetzt zu werden, vermutlich zur Nachverfolgung der Kampagnen, zum Affiliate-Tracking oder zur Kategorisierung der Besucher. Die verschiedenen SEO-optimierten Seiten dienen als Einstiegspunkte, die den Traffic zu einer zentralisierten Infrastruktur kanalisieren.

Zentrale Steuerungslogik

Der gemeinsame Weiterleitungs-Endpunkt fungiert als Schaltzentrale eines Traffic Distribution Systems (TDS). Dieses System übernimmt mehrere Aufgaben:

Die geografische und IP-basierte Filterung ermöglicht es, Zugriffe nach Herkunftsland oder Region zu steuern. Eine integrierte Proxy- und VPN-Erkennung identifiziert anonymisierte Verbindungen. Die Validierung des User-Agents erlaubt die Unterscheidung zwischen echten Browsern und automatisierten Systemen. Das Kampagnen-Routing verteilt Besucher je nach Kontext auf unterschiedliche Ziele, während die bedingte Payload-Übertragung entscheidet, welche schadhaften Inhalte ausgespielt werden.

Blockade von Analysewerkzeugen

Bei Tests über VPN-Verbindungen oder Proxy-Server wurde die Weiterleitung gestoppt. Stattdessen erschien die Meldung „Anonymer Proxy erkannt“ ohne weitere Aktionen. Diese Maßnahme erschwert die Analyse erheblich, da Sicherheitsforscher häufig auf anonymisierte Verbindungen angewiesen sind.

Fazit

Die dokumentierte Kampagne zeigt, wie Angreifer verschiedene Techniken kombinieren, um über längere Zeiträume unentdeckt zu bleiben. Der Missbrauch legitimer Hosting-Dienste, die Nutzung von SEO-Techniken zur Gewinnung echter Nutzer, die Implementierung klickbasierter Weiterleitungen zur Vermeidung automatisierter Erkennung und die Steuerung über ein zentralisiertes Traffic-System bilden eine resiliente Infrastruktur.

Diese Architektur ermöglicht die unbemerkte Verbreitung von Schadsoftware oder anderen schadhaften Inhalten über einen ausgedehnten Zeitraum. Die Kombination aus technischer Raffinesse und der Nutzung vertrauenswürdiger Plattformen stellt eine erhebliche Herausforderung für Sicherheitssysteme dar.

„Die in diesem Beitrag bereitgestellten Informationen wurden sorgfältig recherchiert, erheben jedoch keinen Anspruch auf Vollständigkeit oder absolute Richtigkeit. Sie dienen ausschließlich der allgemeinen Orientierung und ersetzen keine professionelle Beratung. Die Redaktion übernimmt keine Haftung für eventuelle Fehler, Auslassungen oder Folgen, die aus der Nutzung der Informationen entstehen.“

Entdecke mehr

---