Les entreprises de cybers\u00e9curit\u00e9 mettent en garde contre une augmentation des abus du service gratuit TryCloudflare de Clouflare pour la diffusion de logiciels malveillants.<\/p>\n
L’activit\u00e9, document\u00e9e par les deux eSentire<\/a> et Point de preuve<\/a>implique l’utilisation de TryCloudflare pour cr\u00e9er un tunnel unique qui agit comme un conduit pour relayer le trafic d’un serveur contr\u00f4l\u00e9 par un attaquant vers une machine locale via l’infrastructure de Cloudflare.<\/p>\n Des cha\u00eenes d’attaque tirant parti de cette technique ont \u00e9t\u00e9 observ\u00e9es, d\u00e9livrant un cocktail de familles de logiciels malveillants tels que AsyncRAT, GuLoader, PureLogs Stealer, Remcos RAT, Venom RAT et XWorm.<\/p>\n Le vecteur d’acc\u00e8s initial est un e-mail de phishing contenant une archive ZIP, qui comprend un fichier de raccourci URL qui m\u00e8ne le destinataire du message vers un fichier de raccourci Windows h\u00e9berg\u00e9 sur un serveur WebDAV proxy TryCloudflare.<\/p>\n Le fichier de raccourci, \u00e0 son tour, ex\u00e9cute les scripts batch de l’\u00e9tape suivante charg\u00e9s de r\u00e9cup\u00e9rer et d’ex\u00e9cuter des charges utiles Python suppl\u00e9mentaires, tout en affichant simultan\u00e9ment un document PDF leurre h\u00e9berg\u00e9 sur le m\u00eame serveur WebDAV pour maintenir la ruse.<\/p>\n \u00ab Ces scripts ex\u00e9cutaient des actions telles que le lancement de PDF leurres, le t\u00e9l\u00e9chargement de charges utiles malveillantes suppl\u00e9mentaires et la modification des attributs de fichiers pour \u00e9viter la d\u00e9tection \u00bb, a not\u00e9 eSentire.<\/p>\n \u00ab Un \u00e9l\u00e9ment cl\u00e9 de leur strat\u00e9gie consistait \u00e0 utiliser des appels syst\u00e8me directs pour contourner les outils de surveillance de s\u00e9curit\u00e9, \u00e0 d\u00e9crypter les couches de shellcode et \u00e0 d\u00e9ployer l’injection de file d’attente Early Bird APC pour ex\u00e9cuter furtivement du code et \u00e9chapper efficacement \u00e0 la d\u00e9tection. \u00bb<\/p>\n Selon Proofpoint, les messages d’hame\u00e7onnage sont r\u00e9dig\u00e9s en anglais, en fran\u00e7ais, en espagnol et en allemand, et les volumes d’e-mails varient de quelques centaines \u00e0 plusieurs dizaines de milliers de messages ciblant des organisations du monde entier. Les th\u00e8mes abord\u00e9s couvrent un large \u00e9ventail de sujets tels que les factures, les demandes de documents, les livraisons de colis et les taxes.<\/p>\n La campagne, bien qu’attribu\u00e9e \u00e0 un groupe d’activit\u00e9s connexes, n’a pas \u00e9t\u00e9 li\u00e9e \u00e0 un acteur ou \u00e0 un groupe de menace sp\u00e9cifique, mais le fournisseur de s\u00e9curit\u00e9 de messagerie a estim\u00e9 qu’elle \u00e9tait motiv\u00e9e par des raisons financi\u00e8res.<\/p>\n L’exploitation de TryCloudflare \u00e0 des fins malveillantes a \u00e9t\u00e9 enregistr\u00e9e pour la premi\u00e8re fois l’ann\u00e9e derni\u00e8re, lorsque Sysdig a d\u00e9couvert une campagne de cryptojacking et de proxyjacking baptis\u00e9e LABRAT qui a utilis\u00e9 une faille critique d\u00e9sormais corrig\u00e9e dans GitLab pour infiltrer des cibles et masquer leurs serveurs de commande et de contr\u00f4le (C2) \u00e0 l’aide de tunnels Cloudflare.<\/p>\n De plus, l\u2019utilisation de WebDAV et de Server Message Block (SMB) pour la pr\u00e9paration et la livraison de la charge utile n\u00e9cessite que les entreprises limitent l\u2019acc\u00e8s aux services de partage de fichiers externes aux seuls serveurs connus et autoris\u00e9s. <\/p>\n \u00ab L’utilisation des tunnels Cloudflare offre aux acteurs de la menace un moyen d’utiliser une infrastructure temporaire pour faire \u00e9voluer leurs op\u00e9rations, offrant ainsi la flexibilit\u00e9 n\u00e9cessaire pour cr\u00e9er et supprimer des instances en temps opportun \u00bb, ont d\u00e9clar\u00e9 Joe Wise et Selena Larson, chercheurs de Proofpoint.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Les-cybercriminels-abusent-des-tunnels-Cloudflare-pour-echapper-a-la.png\")
<\/a><\/center><\/section>\n<\/a><\/div>\n