Túneles gratuitos de Cloudflare están plagados de RAT y otros malware

Iniciado por AXCESS, Agosto 03, 2024, 09:45:09 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 03, 2024, 09:45:09 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los cibercriminales han encontrado una infraestructura profesional sin costo para realizar sus ataques y distribuir malware. Se trata del servicio de túnel gratuito de Cloudflare, que supuestamente protege los servicios web legítimos.

La empresa de ciberseguridad Proofpoint ha observado que los actores maliciosos distribuyen cada vez más troyanos de acceso remoto (RAT) mediante el abuso del túnel TryCloudflare. Los túneles son una forma de acceder de forma remota a los datos y recursos de un servidor remoto, similar a una VPN. TryCloudflare ofrece crearlos con un solo comando sin una cuenta.

El volumen de mensajes en una sola campaña maliciosa varía de cientos a decenas de miles, y los cibercriminales afectan a miles de organizaciones en todo el mundo.

Solo en julio, los cibercriminales lanzaron al menos 26 campañas, observadas por Proofpoint, que distribuyeron troyanos como XWorm o AsyncRat.

Un conjunto de actividades delictivas parece surgir de un único actor de amenazas con motivaciones económicas. Sin embargo, Proofpoint no lo ha atribuido a ningún grupo malicioso rastreado.

Así es como funciona: en la mayoría de las campañas, las víctimas reciben mensajes con enlaces o archivos adjuntos que llevan a un archivo de acceso directo a Internet (URL). Algunos mensajes tenían temática fiscal y estaban dirigidos a organizaciones legales, financieras, de fabricación y tecnológicas, mientras que otros incluían otros temas comerciales relevantes, como facturas, solicitudes de documentos o entregas de paquetes.

Los ciberdelincuentes utilizaban señuelos en inglés, francés, español y alemán.

El usuario, si hace clic en el enlace o abre el archivo adjunto, es redirigido a un archivo LNK remoto, normalmente alojado en TryCloudflare. LNK es un archivo de acceso directo que normalmente apunta a otros archivos o programas. Los actores de amenazas los utilizan para ejecutar scripts CMD o BAT, que luego entregan la carga maliciosa.

En otros casos, en lugar de LNK, los hackers utilizaron ejecutables VBS que ofrecen resultados similares.

"La cadena de ataque requiere una interacción significativa de la víctima para detonar la carga útil final, lo que incluye hacer clic en el enlace malicioso, hacer doble clic en varios archivos como los archivos LNK o VBS y descomprimir scripts comprimidos. Esto le da al receptor múltiples oportunidades para identificar actividad sospechosa e interrumpir la cadena de ataque antes de que la ejecución sea exitosa", explican los investigadores.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"Los túneles de Cloudflare brindan a los actores de amenazas una forma de usar infraestructura temporal para escalar sus operaciones, lo que brinda flexibilidad para crear y eliminar instancias de manera oportuna. Esto dificulta la tarea de los defensores y las medidas de seguridad tradicionales, como confiar en listas de bloqueo estáticas", se lee en el informe.

En 2023, los atacantes comenzaron a usar instancias temporales de Cloudflare como un método de bajo costo para organizar ataques con scripts auxiliares, con exposición limitada para los esfuerzos de detección y eliminación. Cada uso de los túneles TryCloudflare genera un subdominio aleatorio, por ejemplo, ride-fatal-italic-information[.]trycloudflare[.]com. El tráfico a los subdominios se envía a través de Cloudflare al servidor local de los operadores.

La actividad de los clústeres de amenazas aumentó entre mayo y julio. Los piratas informáticos modifican su cadena de ataque para aumentar la sofisticación y evadir la detección. Proofpoint recomienda a las empresas que restrinjan el acceso a los servicios de intercambio de archivos externos solo a servidores conocidos y incluidos en listas de seguridad.

Las políticas de prevención y gestión de abusos de Cloudflare fueron cuestionadas recientemente por la organización sin fines de lucro Spamhaus Project. El organismo de control afirmó que los cibercriminales explotan los servicios de Cloudflare y que los informes de abusos siguen sin resolverse.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario