02 de agosto de 2024Ravie LakshmananMalware / Seguridad de redes Las empresas de ciberseguridad advierten sobre un aumento en el abuso del servicio gratuito TryCloudflare de Clouflare para la distribución de malware. La actividad, documentada tanto por eSentire como por Proofpoint, implica el uso de TryCloudflare para crear un túnel de un solo uso que actúa como un conducto para retransmitir el tráfico desde un servidor controlado por un atacante a una máquina local a través de la infraestructura de Cloudflare. Se han observado cadenas de ataque que aprovechan esta técnica y distribuyen una combinación de familias de malware como AsyncRAT, GuLoader, PureLogs Stealer, Remcos RAT, Venom RAT y XWorm. El vector de acceso inicial es un correo electrónico de phishing que contiene un archivo ZIP, que incluye un archivo de acceso directo a URL que lleva al destinatario del mensaje a un archivo de acceso directo de Windows alojado en un servidor WebDAV con proxy TryCloudflare. El archivo de acceso directo, a su vez, ejecuta secuencias de comandos por lotes de la siguiente etapa responsables de recuperar y ejecutar cargas útiles de Python adicionales, mientras que al mismo tiempo muestra un documento PDF señuelo alojado en el mismo servidor WebDAV para mantener la artimaña. «Estos scripts ejecutaban acciones como lanzar archivos PDF señuelo, descargar cargas útiles maliciosas adicionales y cambiar los atributos de los archivos para evitar la detección», señaló eSentire. «Un elemento clave de su estrategia era utilizar llamadas al sistema directas para eludir las herramientas de monitoreo de seguridad, descifrar capas de shellcode e implementar la inyección de cola Early Bird APC para ejecutar código de manera sigilosa y evadir la detección de manera efectiva». Según Proofpoint, los señuelos de phishing están escritos en inglés, francés, español y alemán, y los volúmenes de correo electrónico varían de cientos a decenas de miles de mensajes que se dirigen a organizaciones de todo el mundo. Los temas cubren una amplia gama de temas, como facturas, solicitudes de documentos, entregas de paquetes e impuestos. La campaña, aunque se atribuye a un grupo de actividades relacionadas, no se ha vinculado a un actor o grupo de amenazas específico, pero el proveedor de seguridad de correo electrónico evaluó que tenía motivaciones económicas. La explotación de TryCloudflare con fines maliciosos se registró por primera vez el año pasado, cuando Sysdig descubrió una campaña de cryptojacking y proxyjacking denominada LABRAT que utilizó como arma una falla crítica ahora parcheada en GitLab para infiltrarse en los objetivos y ocultar sus servidores de comando y control (C2) mediante túneles de Cloudflare. Además, el uso de WebDAV y Server Message Block (SMB) para la preparación y entrega de la carga útil requiere que las empresas restrinjan el acceso a los servicios externos de intercambio de archivos solo a los servidores conocidos y permitidos. «El uso de túneles de Cloudflare proporciona a los actores de amenazas una forma de utilizar la infraestructura temporal para escalar sus operaciones, lo que proporciona flexibilidad para crear y eliminar instancias de manera oportuna», dijeron los investigadores de Proofpoint Joe Wise y Selena Larson. «Esto dificulta la tarea de los defensores y las medidas de seguridad tradicionales, como confiar en listas de bloqueo estáticas. Las instancias temporales de Cloudflare permiten a los atacantes un método de bajo costo para organizar ataques con scripts auxiliares, con exposición limitada para los esfuerzos de detección y eliminación». Los hallazgos se producen cuando el Proyecto Spamhaus solicitó a Cloudflare que revisara sus políticas antiabuso luego de que los cibercriminales explotaran sus servicios para enmascarar acciones maliciosas y mejorar su seguridad operativa por medio de lo que se denomina «living-off-trusted-services» (LoTS). Dijo que «observa a los malhechores mover sus dominios, que ya están incluidos en la DBL, a Cloudflare para disfrazar el backend de su operación, ya sean dominios spamvertizados, phishing o algo peor». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.