As empresas de segurança cibernética estão alertando sobre um aumento no abuso do serviço gratuito TryCloudflare da Clouflare para distribuição de malware.
A atividade, documentada pela eSentire e pela Proofpoint, envolve o uso do TryCloudflare para criar um túnel de taxa limitada que atua como um canal para retransmitir tráfego de um servidor controlado pelo invasor para uma máquina native por meio da infraestrutura da Cloudflare.
Cadeias de ataque que aproveitam essa técnica foram observadas distribuindo um coquetel de famílias de malware, como AsyncRAT, GuLoader, PureLogs Stealer, Remcos RAT, Venom RAT e XWorm.
O vetor de acesso inicial é um e-mail de phishing contendo um arquivo ZIP, que inclui um arquivo de atalho de URL que leva o destinatário da mensagem a um arquivo de atalho do Home windows hospedado em um servidor WebDAV com proxy TryCloudflare.
O arquivo de atalho, por sua vez, executa scripts em lote de próximo estágio responsáveis por recuperar e executar cargas úteis Python adicionais, ao mesmo tempo em que exibe um documento PDF falso hospedado no mesmo servidor WebDAV para manter o estratagema.
“Esses scripts executavam ações como iniciar PDFs falsos, baixar payloads maliciosos adicionais e alterar atributos de arquivo para evitar detecção”, observou o eSentire.
“Um elemento-chave da estratégia deles period usar chamadas de sistema diretas para ignorar ferramentas de monitoramento de segurança, descriptografar camadas de shellcode e implantar a injeção de fila Early Fowl APC para executar código furtivamente e evitar a detecção de forma eficaz.”
De acordo com a Proofpoint, as iscas de phishing são escritas em inglês, francês, espanhol e alemão, com volumes de e-mail variando de centenas a dezenas de milhares de mensagens que têm como alvo organizações do mundo todo. Os temas abrangem uma ampla gama de tópicos, como faturas, solicitações de documentos, entregas de pacotes e impostos.
A campanha, embora atribuída a um conjunto de atividades relacionadas, não foi vinculada a um grupo ou agente de ameaça específico, mas o fornecedor de segurança de e-mail avaliou que ela teve motivação financeira.
A exploração do TryCloudflare para fins maliciosos foi registrada pela primeira vez no ano passado, quando a Sysdig descobriu uma campanha de cryptojacking e proxyjacking chamada LABRAT, que usou uma falha crítica corrigida no GitLab como arma para infiltrar alvos e obscurecer seus servidores de comando e controle (C2) usando túneis do Cloudflare.
Além disso, o uso do WebDAV e do Server Message Block (SMB) para preparação e entrega de carga útil exige que as empresas restrinjam o acesso a serviços externos de compartilhamento de arquivos somente a servidores conhecidos e listados como permitidos.
“O uso de túneis da Cloudflare fornece aos agentes de ameaças uma maneira de usar infraestrutura temporária para dimensionar suas operações, proporcionando flexibilidade para criar e remover instâncias em tempo hábil”, disseram os pesquisadores da Proofpoint Joe Clever e Selena Larson.
“Isso dificulta para os defensores e medidas de segurança tradicionais, como depender de listas de bloqueio estáticas. Instâncias temporárias do Cloudflare permitem que os invasores tenham um método de baixo custo para encenar ataques com scripts auxiliares, com exposição limitada para esforços de detecção e remoção.”
As descobertas foram divulgadas no momento em que o Projeto Spamhaus solicitou à Cloudflare que revisasse suas políticas antiabuso após a exploração de seus serviços por criminosos cibernéticos para mascarar ações maliciosas e aumentar sua segurança operacional por meio do que é chamado de “viver de serviços confiáveis” (LoTS).
Ele disse que “observa rotineiramente criminosos movendo seus domínios, que já estão listados na (Lista de Bloqueio de Domínios), para a Cloudflare para disfarçar o backend de suas operações, sejam domínios de spamvertising, phishing ou pior”.
