Las empresas de ciberseguridad advierten sobre un aumento en el abuso del servicio gratuito TryCloudflare de Clouflare para la distribución de malware.
La actividad, documentada por ambos eSentire y Punto de pruebaimplica el uso de TryCloudflare para crear un túnel de un solo uso que actúa como conducto para retransmitir el tráfico desde un servidor controlado por un atacante a una máquina local a través de la infraestructura de Cloudflare.
Se han observado cadenas de ataque que aprovechan esta técnica y distribuyen una combinación de familias de malware como AsyncRAT, GuLoader, PureLogs Stealer, Remcos RAT, Venom RAT y XWorm.
El vector de acceso inicial es un correo electrónico de phishing que contiene un archivo ZIP, que incluye un archivo de acceso directo a URL que lleva al destinatario del mensaje a un archivo de acceso directo de Windows alojado en un servidor WebDAV con proxy TryCloudflare.
El archivo de acceso directo, a su vez, ejecuta scripts por lotes de la siguiente etapa responsables de recuperar y ejecutar cargas útiles de Python adicionales, mientras que simultáneamente muestra un documento PDF señuelo alojado en el mismo servidor WebDAV para mantener la artimaña.
«Estos scripts ejecutaban acciones como lanzar archivos PDF señuelo, descargar cargas maliciosas adicionales y cambiar los atributos de los archivos para evitar ser detectados», señaló eSentire.
«Un elemento clave de su estrategia fue utilizar llamadas al sistema directas para eludir las herramientas de monitoreo de seguridad, descifrar capas de shellcode e implementar la inyección de cola Early Bird APC para ejecutar código de manera sigilosa y evadir la detección de manera efectiva».
Según Proofpoint, los mensajes de phishing están escritos en inglés, francés, español y alemán, y el volumen de los mensajes varía entre cientos y decenas de miles, y están dirigidos a organizaciones de todo el mundo. Los temas abarcan una amplia gama de temas, como facturas, solicitudes de documentos, entregas de paquetes e impuestos.
La campaña, si bien se atribuye a un grupo de actividades relacionadas, no se ha vinculado a un actor o grupo de amenazas específico, pero el proveedor de seguridad de correo electrónico evaluó que tenía motivaciones financieras.
La explotación de TryCloudflare con fines maliciosos se registró por primera vez el año pasado, cuando Sysdig descubrió una campaña de cryptojacking y proxyjacking denominada LABRAT que utilizó una falla crítica ahora parcheada en GitLab para infiltrarse en los objetivos y ocultar sus servidores de comando y control (C2) utilizando túneles de Cloudflare.
Además, el uso de WebDAV y Server Message Block (SMB) para la preparación y entrega de carga útil requiere que las empresas restrinjan el acceso a servicios externos de intercambio de archivos únicamente a servidores conocidos y permitidos.
«El uso de túneles de Cloudflare proporciona a los actores de amenazas una forma de utilizar infraestructura temporal para escalar sus operaciones, proporcionando flexibilidad para crear y eliminar instancias de manera oportuna», dijeron los investigadores de Proofpoint Joe Wise y Selena Larson.
«Esto dificulta el trabajo de los defensores y las medidas de seguridad tradicionales, como confiar en listas de bloqueo estáticas. Las instancias temporales de Cloudflare permiten a los atacantes un método de bajo costo para preparar ataques con scripts auxiliares, con exposición limitada para los esfuerzos de detección y eliminación».
Los hallazgos surgen mientras el Proyecto Spamhaus pidió a Cloudflare que revise sus políticas antiabuso luego de que los cibercriminales explotaran sus servicios para enmascarar acciones maliciosas y mejorar su seguridad operativa por medio de lo que se llama «vivir de servicios confiables» (LoTS).
Él dicho «Observa a malhechores moviendo sus dominios, que ya están listados en la DBL, a Cloudflare para disfrazar el backend de su operación, ya sean dominios publicitados como spam, phishing o algo peor».