{"id":1301408,"date":"2024-08-02T07:27:18","date_gmt":"2024-08-02T07:27:18","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-cibercriminales-abusan-de-los-tuneles-de-cloudflare-para-evadir-la-deteccion-y-propagar-malware\/"},"modified":"2024-08-02T07:27:23","modified_gmt":"2024-08-02T07:27:23","slug":"los-cibercriminales-abusan-de-los-tuneles-de-cloudflare-para-evadir-la-deteccion-y-propagar-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-cibercriminales-abusan-de-los-tuneles-de-cloudflare-para-evadir-la-deteccion-y-propagar-malware\/","title":{"rendered":"Los cibercriminales abusan de los t\u00faneles de Cloudflare para evadir la detecci\u00f3n y propagar malware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">02 de agosto de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Malware \/ Seguridad de la red<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Los-cibercriminales-abusan-de-los-tuneles-de-Cloudflare-para-evadir.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Las empresas de ciberseguridad advierten sobre un aumento en el abuso del servicio gratuito TryCloudflare de Clouflare para la distribuci\u00f3n de malware.<\/p>\n<p>La actividad, documentada por ambos <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/quartet-of-trouble-xworm-asyncrat-venomrat-and-purelogs-stealer-leverage-trycloudflare\" target=\"_blank\">eSentire<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/threat-actor-abuses-cloudflare-tunnels-deliver-rats\" target=\"_blank\">Punto de prueba<\/a>implica el uso de TryCloudflare para crear un t\u00fanel de un solo uso que act\u00faa como conducto para retransmitir el tr\u00e1fico desde un servidor controlado por un atacante a una m\u00e1quina local a trav\u00e9s de la infraestructura de Cloudflare.<\/p>\n<p>Se han observado cadenas de ataque que aprovechan esta t\u00e9cnica y distribuyen una combinaci\u00f3n de familias de malware como AsyncRAT, GuLoader, PureLogs Stealer, Remcos RAT, Venom RAT y XWorm.<\/p>\n<p>El vector de acceso inicial es un correo electr\u00f3nico de phishing que contiene un archivo ZIP, que incluye un archivo de acceso directo a URL que lleva al destinatario del mensaje a un archivo de acceso directo de Windows alojado en un servidor WebDAV con proxy TryCloudflare.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Los-anuncios-de-Facebook-conducen-a-sitios-web-falsos-que.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>El archivo de acceso directo, a su vez, ejecuta scripts por lotes de la siguiente etapa responsables de recuperar y ejecutar cargas \u00fatiles de Python adicionales, mientras que simult\u00e1neamente muestra un documento PDF se\u00f1uelo alojado en el mismo servidor WebDAV para mantener la artima\u00f1a.<\/p>\n<p>&#8220;Estos scripts ejecutaban acciones como lanzar archivos PDF se\u00f1uelo, descargar cargas maliciosas adicionales y cambiar los atributos de los archivos para evitar ser detectados&#8221;, se\u00f1al\u00f3 eSentire.<\/p>\n<p>&#8220;Un elemento clave de su estrategia fue utilizar llamadas al sistema directas para eludir las herramientas de monitoreo de seguridad, descifrar capas de shellcode e implementar la inyecci\u00f3n de cola Early Bird APC para ejecutar c\u00f3digo de manera sigilosa y evadir la detecci\u00f3n de manera efectiva&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1722583637_445_Los-cibercriminales-abusan-de-los-tuneles-de-Cloudflare-para-evadir.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1722583637_445_Los-cibercriminales-abusan-de-los-tuneles-de-Cloudflare-para-evadir.png\" alt=\"T\u00faneles de Cloudflare\" border=\"0\" data-original-height=\"369\" data-original-width=\"1430\" title=\"T\u00faneles de Cloudflare\"\/><\/a><\/div>\n<p>Seg\u00fan Proofpoint, los mensajes de phishing est\u00e1n escritos en ingl\u00e9s, franc\u00e9s, espa\u00f1ol y alem\u00e1n, y el volumen de los mensajes var\u00eda entre cientos y decenas de miles, y est\u00e1n dirigidos a organizaciones de todo el mundo. Los temas abarcan una amplia gama de temas, como facturas, solicitudes de documentos, entregas de paquetes e impuestos.<\/p>\n<p>La campa\u00f1a, si bien se atribuye a un grupo de actividades relacionadas, no se ha vinculado a un actor o grupo de amenazas espec\u00edfico, pero el proveedor de seguridad de correo electr\u00f3nico evalu\u00f3 que ten\u00eda motivaciones financieras.<\/p>\n<p>La explotaci\u00f3n de TryCloudflare con fines maliciosos se registr\u00f3 por primera vez el a\u00f1o pasado, cuando Sysdig descubri\u00f3 una campa\u00f1a de cryptojacking y proxyjacking denominada LABRAT que utiliz\u00f3 una falla cr\u00edtica ahora parcheada en GitLab para infiltrarse en los objetivos y ocultar sus servidores de comando y control (C2) utilizando t\u00faneles de Cloudflare.<\/p>\n<p>Adem\u00e1s, el uso de WebDAV y Server Message Block (SMB) para la preparaci\u00f3n y entrega de carga \u00fatil requiere que las empresas restrinjan el acceso a servicios externos de intercambio de archivos \u00fanicamente a servidores conocidos y permitidos. <\/p>\n<p>&#8220;El uso de t\u00faneles de Cloudflare proporciona a los actores de amenazas una forma de utilizar infraestructura temporal para escalar sus operaciones, proporcionando flexibilidad para crear y eliminar instancias de manera oportuna&#8221;, dijeron los investigadores de Proofpoint Joe Wise y Selena Larson.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1722583638_552_Los-cibercriminales-abusan-de-los-tuneles-de-Cloudflare-para-evadir.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1722583638_552_Los-cibercriminales-abusan-de-los-tuneles-de-Cloudflare-para-evadir.png\" alt=\"T\u00faneles de Cloudflare\" border=\"0\" data-original-height=\"936\" data-original-width=\"1266\" title=\"T\u00faneles de Cloudflare\"\/><\/a><\/div>\n<p>&#8220;Esto dificulta el trabajo de los defensores y las medidas de seguridad tradicionales, como confiar en listas de bloqueo est\u00e1ticas. Las instancias temporales de Cloudflare permiten a los atacantes un m\u00e9todo de bajo costo para preparar ataques con scripts auxiliares, con exposici\u00f3n limitada para los esfuerzos de detecci\u00f3n y eliminaci\u00f3n&#8221;.<\/p>\n<p>Los hallazgos surgen mientras el Proyecto Spamhaus pidi\u00f3 a Cloudflare que revise sus pol\u00edticas antiabuso luego de que los cibercriminales explotaran sus servicios para enmascarar acciones maliciosas y mejorar su seguridad operativa por medio de lo que se llama &#8220;vivir de servicios confiables&#8221; (LoTS).<\/p>\n<p>\u00c9l <a rel=\"nofollow noopener\" href=\"https:\/\/www.spamhaus.org\/resource-hub\/service-providers\/too-big-to-care-our-disappointment-with-cloudflares-anti-abuse-posture\/\" target=\"_blank\">dicho<\/a> &#8220;Observa a malhechores moviendo sus dominios, que ya est\u00e1n listados en la DBL, a Cloudflare para disfrazar el backend de su operaci\u00f3n, ya sean dominios publicitados como spam, phishing o algo peor&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/cybercriminals-abusing-cloudflare.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80202 de agosto de 2024\ue804Ravie LakshmananMalware \/ Seguridad de la red Las empresas de ciberseguridad advierten sobre un<\/p>\n","protected":false},"author":1,"featured_media":1301409,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[22345,4657,4656,4661,217721,56939,4664,34790,28129,4662,4668,4667,36,4669,239182,4654,239508,4658,4659,4653,18,37647,4666,4665,48801,239484],"class_list":["post-1301408","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-abusan","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-cibercriminales","tag-cloudflare","tag-como-hackear","tag-deteccion","tag-evadir","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-malware","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-para","tag-propagar","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-tuneles","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1301408","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1301408"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1301408\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1301409"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1301408"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1301408"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1301408"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}