Hackers usam Cloudflare para disseminar malware
2 de Agosto de 2024

Empresas de cibersegurança estão alertando sobre um aumento no abuso do serviço gratuito TryCloudflare da Cloudflare para a entrega de malware.

A atividade, documentada tanto pela eSentire quanto pela Proofpoint, envolve o uso do TryCloudflare para criar um túnel de uso único que atua como um conduto para direcionar tráfego de um servidor controlado por um atacante para uma máquina local através da infraestrutura da Cloudflare.

Cadeias de ataque aproveitando essa técnica foram observadas entregando uma combinação de famílias de malware, como AsyncRAT, GuLoader, PureLogs Stealer, Remcos RAT, Venom RAT e XWorm.

O vetor inicial de acesso é um email de phishing contendo um arquivo ZIP, que inclui um arquivo de atalho de URL que leva o destinatário da mensagem a um arquivo de atalho do Windows hospedado em um servidor WebDAV protegido pelo TryCloudflare.

O arquivo de atalho, por sua vez, executa scripts em lote da próxima etapa responsáveis por recuperar e executar payloads adicionais de Python, ao mesmo tempo que exibe um documento PDF isca hospedado no mesmo servidor WebDAV para manter a farsa.

"Esses scripts executaram ações como lançar PDFs isca, baixar payloads maliciosos adicionais e alterar atributos de arquivo para evitar a detecção", notou a eSentire.

Um elemento chave de sua estratégia foi o uso de syscalls diretos para contornar ferramentas de monitoramento de segurança, descriptografar camadas de shellcode e implantar a injeção de fila APC Early Bird para executar código de maneira furtiva e evitar a detecção eficazmente.

Segundo a Proofpoint, as iscas de phishing são escritas em inglês, francês, espanhol e alemão, com os volumes de emails variando de centenas a dezenas de milhares de mensagens que visam organizações ao redor do mundo.

Os temas cobrem uma ampla gama de tópicos, como faturas, solicitações de documentos, entregas de encomendas e impostos.

A campanha, embora atribuída a um cluster de atividades relacionadas, não foi vinculada a um ator ou grupo de ameaças específico, mas o fornecedor de segurança de email avaliou que ela é motivada financeiramente.

A exploração do TryCloudflare para fins maliciosos foi registrada pela primeira vez no ano passado, quando a Sysdig descobriu uma campanha de cryptojacking e proxyjacking denominada LABRAT que armou um defeito crítico agora corrigido no GitLab para infiltrar alvos e obscurecer seus servidores de comando e controle (C2) usando túneis da Cloudflare.

Além disso, o uso de WebDAV e Server Message Block (SMB) para o estágio e entrega de payload exige que as empresas restrinjam o acesso a serviços externos de compartilhamento de arquivos apenas para servidores conhecidos e autorizados.

"O uso de túneis da Cloudflare oferece aos atores de ameaças uma maneira de usar infraestrutura temporária para escalar suas operações, proporcionando flexibilidade para construir e desmontar instâncias de maneira oportuna", disseram os pesquisadores da Proofpoint, Joe Wise e Selena Larson.

Isso dificulta a defesa e medidas de segurança tradicionais, como depender de blocklists estáticas.

Instâncias temporárias da Cloudflare permitem aos atacantes um método de baixo custo para organizar ataques com scripts auxiliares, com exposição limitada para detecção e esforços de desativação.

Os achados surgem enquanto o Projeto Spamhaus pediu à Cloudflare para revisar suas políticas anti-abuso seguindo a exploração de seus serviços por criminosos cibernéticos para mascarar ações maliciosas e aprimorar sua segurança operacional por meio do que é chamado de "living-off-trusted-services" (LoTS).

Ele disse que "observa malfeitores movendo seus domínios, que já estão listados no DBL, para a Cloudflare para disfarçar o back-end de sua operação, seja domínios spamvertized, phishing, ou pior."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...