TRAC Labs 在一份详细的分析报告中揭露了一个名为 Gabagool 的网络钓鱼活动，其目标是企业和政府员工。该活动利用 Cloudflare R2 存储服务的信誉绕过安全措施。

Gabagool 通过入侵员工的电子邮件帐户开始其感染链。被入侵的账户会向其他员工发送钓鱼邮件，在图片或文档中嵌入恶意链接。例如，图片可能标注为 “已收到新传真文档”，其中嵌入的 URL 会引导受害者访问 SharePoint 或 Box 等看似合法的文件共享平台。

“这些电子邮件会提示收件人查看电子邮件中伪装成文档的附件图片。图片中嵌入了一个恶意 URL 短链，利用 tiny.cc 和 tiny.pl，其中包含一个重定向链”。

重定向 URL | 图片： TRAC 实验室

然而，这些重定向会指向托管在 Cloudflare R2 桶中的钓鱼网页。报告指出：“威胁行为者可以通过在这些桶中托管恶意内容或钓鱼登陆页面，利用 Cloudflare 的可信声誉绕过安全过滤器，从而滥用 Cloudflare R2 桶进行钓鱼。”

Gabagool 网络钓鱼工具包采用混淆的 JavaScript 和复杂的僵尸检测机制来规避安全措施。主要功能包括

• 僵尸检测： 钓鱼页面使用检测无头浏览器（如 Selenium）、监控鼠标移动和测试禁用 cookies 等检查手段。如果怀疑有僵尸活动，就会将用户重定向到合法网站。
• 凭证收集： 一旦用户通过了僵尸检查，网络钓鱼页面就会加载凭证收集表单。收集到的凭据在发送到攻击者控制的服务器之前会使用 AES 加密。

Gabagool 活动已经影响了许多组织，尤其是金融和政府等行业。它使用先进的规避技术和可信平台，使其成为一个危险的威胁。