As empresas de segurança cibernética estão alertando sobre um aumento no uso indevido do serviço gratuito TryCloudflare da Cloudflare para distribuição de malware.
Relatórios do eSentire e do Proofpoint detalham a exploração do TryCloudflare para estabelecer túneis únicos, que servem como canais para transmitir tráfego de servidores controlados pelo invasor para máquinas locais por meio da infraestrutura da Cloudflare.
Este método foi observado em cadeias de ataque que implantam uma variedade de famílias de malware, incluindo AsyncRAT, GuLoader, PureLogs Stealer, Remcos RAT, Venom RAT e XWorm.
O vetor de infecção inicial normalmente envolve um e-mail de phishing contendo um arquivo ZIP com um arquivo de atalho URL. Este arquivo direciona os destinatários para um atalho do Windows hospedado em um servidor WebDAV com proxy TryCloudflare.
Após a execução, o arquivo de atalho aciona scripts em lote que baixam e executam payloads Python adicionais enquanto apresentam um documento PDF falso, também hospedado no mesmo servidor WebDAV, para manter o engano.
“Esses scripts executaram ações como lançar PDFs falsos, baixar mais payloads maliciosos e alterar atributos de arquivo para evitar detecção”, relatou o eSentire.
“Um aspecto significativo da estratégia dos invasores incluiu o uso de chamadas de sistema diretas para ignorar ferramentas de monitoramento de segurança, descriptografar camadas de shellcode e empregar a técnica de injeção de fila Early Bird APC para executar código secretamente e evitar detecção.”
A Proofpoint observou que as iscas de phishing, criadas em inglês, francês, espanhol e alemão, variaram de centenas a dezenas de milhares de e-mails direcionados a organizações em todo o mundo. Os temas variaram, abrangendo faturas, solicitações de documentos, entregas de pacotes e impostos.
Embora a campanha esteja vinculada a um conjunto de atividades relacionadas, ela não foi atribuída a umator de ameaça ou grupo específico, embora se acredite que seja motivada financeiramente.
O abuso do TryCloudflare para fins maliciosos foi observado inicialmente no ano passado, com o Sysdig descobrindo a campanha LABRAT, que aproveitou uma falha crítica do GitLab agora corrigida para cryptojacking e proxyjacking. Esta campanha utilizou túneis do Cloudflare para obscurecer servidores de comando e controle (C2).
Além disso, o emprego de WebDAV e Server Message Block (SMB) para preparação e entrega de carga útil ressalta a necessidade de as empresas limitarem o acesso a serviços externos de compartilhamento de arquivos a servidores conhecidos e listados como permitidos.
“Os túneis Cloudflare oferecem aos agentes de ameaças a flexibilidade para configurar e desmontar rapidamente a infraestrutura temporária, permitindo que eles dimensionem suas operações de forma eficiente”, explicaram os pesquisadores da Proofpoint Joe Wise e Selena Larson.
“Isso complica os esforços dos defensores e as medidas de segurança tradicionais, como listas de bloqueio estáticas. O uso de Cloudflare temporário instâncias fornece aos invasores um método de baixo custo para executar ataques usando scripts auxiliares, ao mesmo tempo em que minimiza as chances de detecção e remoção.”
Essas descobertas surgem quando o Projeto Spamhaus pediu à Cloudflare para reavaliar suas políticas antiabuso em resposta a criminosos cibernéticos que exploram seus serviços para ocultar atividades maliciosas e reforçar sua segurança operacional por meio de viver-de-serviços-confiáveis (LoTS).
A Spamhaus observou que “os criminosos estão realocando seus domínios, que já estão listados no DBL, para a Cloudflare para mascarar o backend de suas operações, seja envolvendo domínios spamvertizados, phishing ou outras atividades maliciosas.”
Fonte: TheHackerNews