Le aziende di cybersecurity stanno lanciando l'allarme riguardo un aumento nell'abuso del servizio gratuito TryCloudflare di Cloudflare per la distribuzione di malware. Attività documentate da eSentire e Proofpoint rivelano che i cybercriminali stanno sfruttando TryCloudflare per creare tunnel a velocità limitata, che fungono da condotti per trasmettere traffico da server controllati dagli attaccanti a macchine locali attraverso l'infrastruttura di Cloudflare.

Questi attacchi utilizzano una varietà di famiglie di malware come AsyncRAT, GuLoader, PureLogs Stealer, Remcos RAT, Venom RAT e XWorm. L'accesso iniziale avviene tramite email di phishing contenenti un archivio ZIP, che include un file di collegamento URL che indirizza il destinatario a un file di collegamento di Windows ospitato su un server WebDAV proxy di TryCloudflare. Il file di collegamento esegue script batch di prossima fase, responsabili del recupero e dell'esecuzione di payload Python aggiuntivi, mostrando contemporaneamente un documento PDF esca ospitato sullo stesso server WebDAV per mantenere l'inganno.

Questi script eseguono azioni come il lancio di PDF esca, il download di payload dannosi aggiuntivi e la modifica degli attributi dei file per evitare il rilevamento. Un elemento chiave della loro strategia è l'uso di chiamate di sistema dirette per bypassare gli strumenti di monitoraggio della sicurezza, decrittare strati di shellcode e utilizzare l'iniezione della coda APC Early Bird per eseguire il codice in modo furtivo ed eludere efficacemente il rilevamento.

Secondo Proofpoint

Le esche di phishing sono scritte in inglese, francese, spagnolo e tedesco, con volumi di email che vanno da centinaia a decine di migliaia di messaggi mirati a organizzazioni di tutto il mondo. I temi trattati includono fatture, richieste di documenti, consegne di pacchi e tasse. Sebbene la campagna sia attribuita a un cluster di attività correlate, non è stata collegata a un attore o gruppo di minacce specifico, ma l'azienda di sicurezza delle email ritiene che sia finanziariamente motivata.

L'uso malevolo di TryCloudflare è stato registrato per la prima volta l'anno scorso, quando Sysdig ha scoperto una campagna di cryptojacking e proxyjacking chiamata LABRAT che ha sfruttato una vulnerabilità critica ora risolta in GitLab per infiltrarsi nei target e oscurare i loro server di comando e controllo (C2) utilizzando i tunnel di Cloudflare. Inoltre, l'uso di WebDAV e Server Message Block (SMB) per la messa in scena e la consegna dei payload richiede che le imprese limitino l'accesso ai servizi di condivisione file esterni solo ai server noti e presenti in lista bianca.

"Il ricorso ai tunnel di Cloudflare fornisce agli attori delle minacce un modo per utilizzare infrastrutture temporanee per scalare le loro operazioni, offrendo flessibilità nel costruire e smantellare istanze in modo tempestivo", hanno affermato i ricercatori di Proofpoint Joe Wise e Selena Larson. Questa tecnica rende più difficile per i difensori e le misure di sicurezza tradizionali, come il ricorso a liste di blocco statiche. Le istanze temporanee di Cloudflare consentono agli attaccanti un metodo a basso costo per organizzare attacchi con script di supporto, con esposizione limitata per i tentativi di rilevamento e smantellamento.

Le scoperte arrivano mentre il progetto Spamhaus chiede a Cloudflare di rivedere le sue politiche anti-abuso dopo che i cybercriminali hanno sfruttato i suoi servizi per mascherare azioni dannose e migliorare la loro sicurezza operativa mediante l'uso di servizi affidabili (LoTS). Spamhaus osserva regolarmente malintenzionati spostare i loro domini, già elencati nella Domain Blocklist, su Cloudflare per mascherare il backend delle loro operazioni, che si tratti di domini spamvertizzati, phishing o peggio.