Οι ερευνητές προειδοποιούν ότι κακόβουλοι παράγοντες καταχρώνται όλο και περισσότερο το TryCloudflare σε καμπάνιες remote access malware, που συνήθως περιέχουν trojans απομακρυσμένης πρόσβασης (RAT).
Δείτε επίσης: Το νέο Flame Stealer malware κλέβει δεδομένα πιστωτικών καρτών
Αυτή η εγκληματική δραστηριότητα στον κυβερνοχώρο εντοπίστηκε για πρώτη φορά τον Φεβρουάριο και αξιοποιεί τη δωρεάν υπηρεσία TryCloudflare για τη διανομή πολλών RAT, συμπεριλαμβανομένων των AsyncRAT, GuLoader, VenomRAT, Remcos RAT και Xworm.
Η υπηρεσία Cloudflare Tunnel επιτρέπει την κυκλοφορία μεσολάβησης μέσω μιας κρυπτογραφημένης σήραγγας για πρόσβαση σε τοπικές υπηρεσίες και διακομιστές μέσω του Διαδικτύου χωρίς να εκτίθενται διευθύνσεις IP. Αυτό θα πρέπει να συνοδεύεται από πρόσθετη ασφάλεια και ευκολία, επειδή δεν χρειάζεται να ανοίξετε δημόσιες θύρες εισόδου ή να ρυθμίσετε συνδέσεις VPN.
Με το TryCloudflare, οι χρήστες μπορούν να δημιουργήσουν προσωρινά τούνελ σε τοπικούς διακομιστές και να δοκιμάσουν την υπηρεσία χωρίς να χρειάζονται λογαριασμό Cloudflare.
Κάθε σήραγγα δημιουργεί έναν προσωρινό τυχαίο υποτομέα στον τομέα trycloudflare.com, ο οποίος χρησιμοποιείται για τη δρομολόγηση της κυκλοφορίας μέσω του δικτύου του Cloudflare στον τοπικό διακομιστή.
Οι κακόβουλοι παράγοντες έχουν κάνει κατάχρηση της δυνατότητας στο παρελθόν για να αποκτήσουν απομακρυσμένη πρόσβαση σε παραβιασμένα συστήματα, αποφεύγοντας τον εντοπισμό.
Σε μια πρόσφατη αναφορά, η εταιρεία κυβερνοασφάλειας Proofpoint λέει ότι παρατήρησε δραστηριότητα malware που στοχεύει νομικούς, χρηματοοικονομικούς, κατασκευαστικούς και τεχνολογικούς οργανισμούς με κακόβουλα αρχεία .LNK που φιλοξενούνται στον νόμιμο τομέα TryCloudflare.
Δείτε ακόμα: Ψεύτικα sites Google Authenticator εγκαθιστούν το DeerStealer malware
Οι κακόβουλοι παράγοντες δελεάζουν στόχους με email με φορολογικά θέματα, με διευθύνσεις URL ή συνημμένα που οδηγούν στο ωφέλιμο φορτίο LNK. Κατά την εκκίνηση, το ωφέλιμο φορτίο εκτελεί σενάρια BAT ή CMD που αναπτύσσουν το PowerShell.
Στο τελικό στάδιο της επίθεσης, πραγματοποιείται λήψη προγραμμάτων εγκατάστασης Python για το τελικό ωφέλιμο φορτίο.
Η Proofpoint αναφέρει ότι το κύμα διανομής email που ξεκίνησε στις 11 Ιουλίου έχει διανείμει πάνω από 1.500 κακόβουλα μηνύματα, ενώ ένα προηγούμενο κύμα από τις 28 Μαΐου περιείχε λιγότερα από 50 μηνύματα.
Η φιλοξενία αρχείων LNK στο Cloudflare προσφέρει πολλά πλεονεκτήματα, συμπεριλαμβανομένου του να κάνει την κυκλοφορία να φαίνεται νόμιμη λόγω της φήμης της υπηρεσίας.
Επιπλέον, η λειτουργία TryCloudflare Tunnel προσφέρει ανωνυμία και οι υποτομείς που εξυπηρετούν LNK είναι προσωρινοί, επομένως ο αποκλεισμός τους δεν βοηθάει πολύ τους ερευνητές ασφαλείας.
Τελικά, η υπηρεσία είναι δωρεάν και αξιόπιστη, επομένως οι εγκληματίες του κυβερνοχώρου δεν χρειάζεται να καλύψουν το κόστος της δημιουργίας δικής τους υποδομής. Εάν χρησιμοποιείται αυτοματισμός για την αποφυγή μπλοκ από το Cloudflare, οι εγκληματίες του κυβερνοχώρου μπορούν να κάνουν κατάχρηση αυτών των τούνελ ακόμη και για επιχειρήσεις μεγάλης κλίμακας.
Δείτε επίσης: Κινέζοι hackers στοχεύουν ιαπωνικές εταιρείες με LODEINFO και NOOPDOOR Malware
Το remote access malware αναφέρεται σε κακόβουλο λογισμικό που έχει σχεδιαστεί για να παρέχει σε μη εξουσιοδοτημένους χρήστες τη δυνατότητα πρόσβασης στον υπολογιστή ή το δίκτυο ενός θύματος από μια απομακρυσμένη τοποθεσία, όπως στην περίπτωση του TryCloudflare. Αυτός ο τύπος κακόβουλου λογισμικού μπορεί να λάβει διάφορες μορφές, συμπεριλαμβανομένων των Trojans και των backdoors, και χρησιμοποιείται συχνά από εγκληματίες του κυβερνοχώρου για την κλοπή ευαίσθητων πληροφοριών, την παρακολούθηση της δραστηριότητας των χρηστών ή την ανάπτυξη πρόσθετων κακόβουλων ωφέλιμων φορτίων. Μόλις εγκατασταθεί, αυτό το κακόβουλο λογισμικό μπορεί να παρακάμψει τα παραδοσιακά μέτρα ασφαλείας, καθιστώντας ζωτικής σημασίας για άτομα και οργανισμούς να χρησιμοποιούν ισχυρές πρακτικές κυβερνοασφάλειας, όπως τακτικές ενημερώσεις λογισμικού, χρήση τείχους προστασίας και ολοκληρωμένες λύσεις προστασίας από ιούς για τον μετριασμό των κινδύνων που σχετίζονται με απειλές απομακρυσμένης πρόσβασης.
Πηγή: bleepingcomputer
