Segundo a empresa de segurança cibernética Proofpoint, hackers usam o TryCloudflare gratuito para distribuir malware de acesso remoto.
O serviço Cloudflare Tunnel permite o tráfego de proxy por meio de um túnel criptografado para acessar serviços e servidores locais pela Internet sem expor endereços IP.
Isso deve vir com segurança e conveniência adicionais, pois não há necessidade de abrir nenhuma porta de entrada pública ou configurar conexões VPN.
Com o TryCloudflare, os usuários podem criar túneis temporários para servidores locais e testar o serviço sem a necessidade de uma conta Cloudflare.
Cada túnel gera um subdomínio aleatório temporário no domínio trycloudflare.com, que é usado para rotear o tráfego pela rede da Cloudflare para o servidor local.
Agora, pesquisadores estão alertando sobre agentes de ameaças que abusam cada vez mais do serviço Cloudflare Tunnel em campanhas de malware que geralmente distribuem trojans de acesso remoto (RATs).
Hackers usam o TryCloudflare gratuito para distribuir malware
Essa atividade cibercriminosa foi detectada pela primeira vez em fevereiro e está aproveitando o serviço gratuito TryCloudflare para distribuir vários RATs, incluindo AsyncRAT, GuLoader, VenomRAT, Remcos RAT e Xworm.
Os agentes de ameaças abusaram do recurso no passado para obter acesso remoto a sistemas comprometidos enquanto evitavam a detecção.
Em um relatório recente, a empresa de segurança cibernética Proofpoint diz que observou atividade de malware visando organizações jurídicas, financeiras, de manufatura e de tecnologia com arquivos .LNK maliciosos hospedados no domínio TryCloudflare legítimo.
Os agentes de ameaças estão atraindo alvos com e-mails com temas fiscais com URLs ou anexos que levam à carga útil LNK. Quando iniciada, a carga útil executa scripts BAT ou CMD que implantam o PowerShell.
No estágio final do ataque, os instaladores Python são baixados para a carga útil final.
A Proofpoint relata que a onda de distribuição de e-mail que começou em 11 de julho distribuiu mais de 1.500 mensagens maliciosas, enquanto uma onda anterior de 28 de maio continha menos de 50 mensagens.
Hospedar arquivos LNK no Cloudflare oferece vários benefícios, incluindo fazer o tráfego parecer legítimo devido à reputação do serviço.
Além disso, o recurso TryCloudflare Tunnel oferece anonimato, e os subdomínios que atendem ao LNK são temporários, então bloqueá-los não ajuda muito os defensores.
Em última análise, o serviço é gratuito e confiável, então os cibercriminosos não precisam cobrir o custo de configuração de sua própria infraestrutura.
Se a automação for empregada para escapar dos bloqueios do Cloudflare, os cibercriminosos podem abusar desses túneis, mesmo para operações em larga escala.
O site BleepingComputer entrou em contato com a Cloudflare para um comentário sobre a atividade relatada pela Proofpoint, e um representante da empresa respondeu com a seguinte declaração:
“A Cloudflare desabilita e derruba imediatamente túneis maliciosos conforme são descobertos por nossa equipe ou relatados por terceiros.
“Nos últimos anos, a Cloudflare introduziu detecções de aprendizado de máquina em nosso produto de túnel para conter melhor a atividade maliciosa que pode ocorrer.”
“Incentivamos a Proofpoint e outros fornecedores de segurança a enviar quaisquer URLs suspeitos e tomaremos medidas contra quaisquer clientes que usem nossos serviços para malware.”