Les chercheurs avertissent que les acteurs de la menace abusent de plus en plus du service de tunnel Cloudflare dans les campagnes de logiciels malveillants qui fournissent généralement des chevaux de Troie d’accès à distance (RATs).
Cette activité cybercriminelle a été détectée pour la première fois en février et exploite le service gratuit Try Cloudflare pour distribuer plusieurs RATs, notamment AsyncRAT, GuLoader, VenomRAT, Remcos RAT et Xworm.
Le service de tunnel Cloudflare permet de proxy le trafic via un tunnel crypté pour accéder aux services et serveurs locaux sur Internet sans exposer les adresses IP. Cela devrait s’accompagner d’une sécurité et d’une commodité accrues, car il n’est pas nécessaire d’ouvrir des ports entrants publics ou de configurer des connexions VPN.
Avec TryCloudflare, les utilisateurs peuvent créer des tunnels temporaires vers des serveurs locaux et tester le service sans avoir besoin d’un compte Cloudflare.
Chaque tunnel génère un sous-domaine aléatoire temporaire sur le trycloudflare.com domaine, qui est utilisé pour acheminer le trafic via le réseau de Cloudflare vers le serveur local.
Les auteurs de menaces ont abusé de cette fonctionnalité dans le passé pour accéder à distance à des systèmes compromis tout en échappant à la détection.
Dernière campagne
Dans un rapport publié aujourd’hui, la société de cybersécurité Proofpoint affirme avoir observé une activité malveillante ciblant les organisations juridiques, financières, manufacturières et technologiques avec des logiciels malveillants .Fichiers LNK hébergés sur le domaine légitime TryCloudflare.
Les acteurs de la menace attirent les cibles avec des courriels à thème fiscal avec des URL ou des pièces jointes menant à la charge utile LNK. Lorsqu’elle est lancée, la charge utile exécute des scripts BAT ou CMD qui déploient PowerShell.
Dans la dernière étape de l’attaque, les programmes d’installation Python sont téléchargés pour la charge utile finale.
Proofpoint rapporte que la vague de distribution d’e-mails qui a débuté le 11 juillet a distribué plus de 1 500 messages malveillants, tandis qu’une vague antérieure du 28 mai contenait moins de 50 messages.
L’hébergement de fichiers LNK sur Cloudflare offre plusieurs avantages, notamment la légitimation du trafic en raison de la réputation du service.
De plus, la fonctionnalité de tunnel TryCloudflare offre l’anonymat et les sous-domaines desservant LNK sont temporaires, donc les bloquer n’aide pas trop les défenseurs.
En fin de compte, le service est gratuit et fiable, de sorte que les cybercriminels n’ont pas besoin de couvrir le coût de la mise en place de leur propre infrastructure. Si l’automatisation est utilisée pour échapper aux blocages de Cloudflare, les cybercriminels peuvent abuser de ces tunnels même pour des opérations à grande échelle.
BleepingComputer a contacté Cloudflare pour un commentaire sur l’activité signalée par Proofpoint, et un représentant de l’entreprise a répondu avec la déclaration suivante:
Cloudflare désactive et supprime immédiatement les tunnels malveillants dès qu’ils sont découverts par notre équipe ou signalés par des tiers.
Au cours des dernières années, Cloudflare a introduit des détections d’apprentissage automatique sur notre produit tunnel afin de mieux contenir les activités malveillantes susceptibles de se produire.
Nous encourageons Proofpoint et les autres fournisseurs de sécurité à soumettre toute URL suspecte et nous prendrons des mesures contre tous les clients qui utilisent nos services pour détecter des logiciels malveillants.