Cercetatorii avertizeaza cu privire la faptul ca actorii de amenintare abuzeaza tot mai mult de serviciul Cloudflare Tunnel in campaniile de malware care de obicei livreaza troieni de acces la distanta (RATs).
Aceasta activitate infractionala a fost detectata pentru prima data in februarie si foloseste serviciul gratuit TryCloudflare pentru a distribui mai multi RATs, inclusiv AsyncRAT, GuLoader, VenomRAT, Remcos RAT si Xworm.
Serviciul Cloudflare Tunnel permite directionarea traficului printr-un tunel criptat pentru a accesa serviciile si serverele locale peste internet fara a expune adresele IP. Acest lucru ar trebui sa ofere securitate si comoditate sporite deoarece nu este nevoie sa se deschida niciun port public de intrare sau sa se configureze conexiuni VPN.
Prin intermediul TryCloudflare, utilizatorii pot crea tuneluri temporare catre serverele locale si pot testa serviciul fara a avea nevoie de un cont Cloudflare.
Fiecare tunel genereaza un subdomeniu temporar aleatoriu pe domeniul trycloudflare.com, care este folosit pentru a dirija traficul prin reteaua Cloudflare catre serverul local.
Actorii de amenintare au abuzat de aceasta caracteristica in trecut pentru a obtine acces la distanta la sisteme compromise evitand detectia.
Intr-un raport publicat astazi, compania de securitate cibernetica Proofpoint mentioneaza ca a observat activitatea de malware vizand organizatii din domeniile juridic, financiar, productie si tehnologie cu fisiere .LNK malitioase gazduite pe domeniul legitim TryCloudflare.
Actorii de amenintare atrag tintele cu e-mailuri tematice despre taxe cu URL-uri sau atasamente care duc la incarcarea fisierei LNK. Cand este lansat, payload-ul ruleaza scripturi BAT sau CMD care deploieaza PowerShell.
In etapa finala a atacului, instalatoarele Python sunt descarcate pentru payload-ul final.
Proofpoint raporteaza ca valul de distributie a e-mailurilor care a inceput pe 11 iulie a distribuit peste 1.500 de mesaje malitioase, in timp ce un val anterior din 28 mai continea mai putin de 50 de mesaje.
Gazduirea fisierelor LNK pe Cloudflare ofera mai multe avantaje, inclusiv faptul ca traficul pare legitim datorita reputatiei serviciului.
Mai mult, caracteristica TryCloudflare Tunnel ofera anonimitate, iar subdomeniile care servesc fisiere LNK sunt temporare, astfel incat blocarea lor nu ajuta prea mult aparatorii.
In cele din urma, serviciul este gratuit si de incredere, asa ca infractorii cibernetici nu au nevoie sa acopere costul configurarii propriei infrastructuri. Daca se foloseste automatizarea pentru a evita blocarile de la Cloudflare, infractorii cibernetici pot abuza acele tuneluri chiar si pentru operatiuni la scara larga.
BleepingComputer a contactat Cloudflare pentru a comenta activitatea raportata de Proofpoint, iar un reprezentant al companiei a raspuns cu urmatoarea declaratie:
Cloudflare dezactiveaza imediat si elimina tunelurile malitioase pe masura ce sunt descoperite de echipa noastra sau raportate de terte parti.
In ultimii ani, Cloudflare a introdus detectii de invatare automata pe produsul nostru de tunel pentru a contine mai bine activitatile malitioase care ar putea aparea.
Noi incurajam Proofpoint si alti furnizori de securitate sa trimita orice URL-uri suspecte si vom lua masuri impotriva oricaror clienti care folosesc serviciile noastre pentru malware.
Leave a Reply