Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los cibercriminales abusan de los túneles de Cloudflare para evadir la detección y propagar malware
  • Tecnología

Los cibercriminales abusan de los túneles de Cloudflare para evadir la detección y propagar malware

teknomers 2 de Ağustos de 2024 (Last updated: 2 de Ağustos de 2024) 4 minutes read
Los cibercriminales abusan de los túneles de Cloudflare para evadir


02 de agosto de 2024Ravie LakshmananMalware / Seguridad de la red

Las empresas de ciberseguridad advierten sobre un aumento en el abuso del servicio gratuito TryCloudflare de Clouflare para la distribución de malware.

La actividad, documentada por ambos eSentire y Punto de pruebaimplica el uso de TryCloudflare para crear un túnel de un solo uso que actúa como conducto para retransmitir el tráfico desde un servidor controlado por un atacante a una máquina local a través de la infraestructura de Cloudflare.

Se han observado cadenas de ataque que aprovechan esta técnica y distribuyen una combinación de familias de malware como AsyncRAT, GuLoader, PureLogs Stealer, Remcos RAT, Venom RAT y XWorm.

El vector de acceso inicial es un correo electrónico de phishing que contiene un archivo ZIP, que incluye un archivo de acceso directo a URL que lleva al destinatario del mensaje a un archivo de acceso directo de Windows alojado en un servidor WebDAV con proxy TryCloudflare.

La seguridad cibernética

El archivo de acceso directo, a su vez, ejecuta scripts por lotes de la siguiente etapa responsables de recuperar y ejecutar cargas útiles de Python adicionales, mientras que simultáneamente muestra un documento PDF señuelo alojado en el mismo servidor WebDAV para mantener la artimaña.

“Estos scripts ejecutaban acciones como lanzar archivos PDF señuelo, descargar cargas maliciosas adicionales y cambiar los atributos de los archivos para evitar ser detectados”, señaló eSentire.

“Un elemento clave de su estrategia fue utilizar llamadas al sistema directas para eludir las herramientas de monitoreo de seguridad, descifrar capas de shellcode e implementar la inyección de cola Early Bird APC para ejecutar código de manera sigilosa y evadir la detección de manera efectiva”.

Túneles de Cloudflare

Según Proofpoint, los mensajes de phishing están escritos en inglés, francés, español y alemán, y el volumen de los mensajes varía entre cientos y decenas de miles, y están dirigidos a organizaciones de todo el mundo. Los temas abarcan una amplia gama de temas, como facturas, solicitudes de documentos, entregas de paquetes e impuestos.

La campaña, si bien se atribuye a un grupo de actividades relacionadas, no se ha vinculado a un actor o grupo de amenazas específico, pero el proveedor de seguridad de correo electrónico evaluó que tenía motivaciones financieras.

La explotación de TryCloudflare con fines maliciosos se registró por primera vez el año pasado, cuando Sysdig descubrió una campaña de cryptojacking y proxyjacking denominada LABRAT que utilizó una falla crítica ahora parcheada en GitLab para infiltrarse en los objetivos y ocultar sus servidores de comando y control (C2) utilizando túneles de Cloudflare.

Además, el uso de WebDAV y Server Message Block (SMB) para la preparación y entrega de carga útil requiere que las empresas restrinjan el acceso a servicios externos de intercambio de archivos únicamente a servidores conocidos y permitidos.

“El uso de túneles de Cloudflare proporciona a los actores de amenazas una forma de utilizar infraestructura temporal para escalar sus operaciones, proporcionando flexibilidad para crear y eliminar instancias de manera oportuna”, dijeron los investigadores de Proofpoint Joe Wise y Selena Larson.

Túneles de Cloudflare

“Esto dificulta el trabajo de los defensores y las medidas de seguridad tradicionales, como confiar en listas de bloqueo estáticas. Las instancias temporales de Cloudflare permiten a los atacantes un método de bajo costo para preparar ataques con scripts auxiliares, con exposición limitada para los esfuerzos de detección y eliminación”.

Los hallazgos surgen mientras el Proyecto Spamhaus pidió a Cloudflare que revise sus políticas antiabuso luego de que los cibercriminales explotaran sus servicios para enmascarar acciones maliciosas y mejorar su seguridad operativa por medio de lo que se llama “vivir de servicios confiables” (LoTS).

Él dicho “Observa a malhechores moviendo sus dominios, que ya están listados en la DBL, a Cloudflare para disfrazar el backend de su operación, ya sean dominios publicitados como spam, phishing o algo peor”.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: 1. FC Köln contra HSV: aquí puedes ver el inicio de la 2. Bundesliga en la televisión
Next: Nuevos álbumes que saldrán en agosto de 2024

Related Stories

Prueba Midea PortaSplit: nuestra opinión sobre este aire acondicionado portátil
  • Tecnología

Prueba Midea PortaSplit: nuestra opinión sobre este aire acondicionado portátil que arrasa

teknomers 18 de Temmuz de 2026
La Autoridad de la Competencia señala el dominio de OpenAI,
  • Tecnología

La Autoridad de la Competencia señala el dominio de OpenAI, Anthropic y Google sobre los agentes de IA

teknomers 18 de Temmuz de 2026
Microsoft Teams creará por defecto una memoria IA de tus
  • Tecnología

Microsoft Teams creará por defecto una memoria IA de tus reuniones para ayudar a Copilot a responder a tus preguntas.

teknomers 18 de Temmuz de 2026

You May Have Missed

  • General

Lista de lugares adicionales como ‘en peligro’ por conflicto o cambio climático

teknomers 18 de Temmuz de 2026
Steph Curry, Djokovic, Messi y el selfie culto… el resumen
  • Deporte

Steph Curry, Djokovic, Messi y el selfie culto… el resumen del increíble show de la conferencia de prensa antes de la final España-Argentina.

teknomers 18 de Temmuz de 2026
  • Cultura

« El mayor público de la historia de todos los conciertos »: BTS arrasa en el Stade de France en su regreso a Francia

teknomers 18 de Temmuz de 2026
Prueba Midea PortaSplit: nuestra opinión sobre este aire acondicionado portátil
  • Tecnología

Prueba Midea PortaSplit: nuestra opinión sobre este aire acondicionado portátil que arrasa

teknomers 18 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.