Pesquisadores alertam que hackers estão explorando serviços Cloudflare Tunnel para campanhas de malware, distribuindo trojans de acesso remoto (RATs) como AsyncRAT, GuLoader, VenomRAT, Remcos RAT e Xworm.
Campaigns attributed to the same activity cluster
Fonte: Proofpoint
A atividade foi detectada pela primeira vez em fevereiro, com os hackers aproveitando o serviço gratuito TryCloudflare. Este serviço permite o tráfego de proxy por meio de um túnel criptografado, facilitando o acesso a serviços e servidores locais sem expor endereços IP, aumentando a segurança e a conveniência ao eliminar a necessidade de abrir portas públicas ou configurar VPNs.
O TryCloudflare permite criar túneis temporários para servidores locais sem exigir uma conta Cloudflare. Cada túnel gera um subdomínio temporário no domínio trycloudflare.com, usado para rotear o tráfego através da rede Cloudflare para o servidor local. No entanto, hackers exploraram esse recurso para obter acesso remoto a sistemas comprometidos, evitando a detecção.
Um relatório da Proofpoint revelou que hackers estão direcionando campanhas de malware a organizações do setor jurídico, financeiro, de manufatura e tecnologia. Os hackers utilizam arquivos .LNK maliciosos hospedados no domínio TryCloudflare legítimo, distribuídos via e-mails com temas fiscais que contêm URLs ou anexos levando à payloads do LNK. Ao ser ativada, o payload executa um scripts BAT ou CMD que ativa o PowerShell, resultando na instalação final de scripts Python.
Two attack chains used in the campaign
Fonte: Proofpoint
A Proofpoint identificou duas ondas recentes de e-mails maliciosos: a primeira, em 28 de maio, com menos de 50 mensagens, e a segunda, a partir de 11 de julho, com mais de 1.500 mensagens. A hospedagem de arquivos LNK na Cloudflare oferece vantagens aos hackers, como a aparência legítima do tráfego devido à reputação do serviço, anonimato e subdomínios temporários, dificultando a detecção e o bloqueio.
Malicious email sample
Fonte: Proofpoint
Resposta da Cloudflare
"A Cloudflare desativa e remove imediatamente os túneis maliciosos conforme são descobertos por nossa equipe ou relatados por terceiros. Nos últimos anos, introduzimos detecções baseadas em machine learning em nosso produto de túnel para combater melhor atividades maliciosas. Incentivamos a Proofpoint e outros fornecedores de segurança a nos enviar URLs suspeitos, e tomaremos medidas contra qualquer cliente que use nossos serviços para fins de malware."
Via - BC
Comments