Tunnel Cloudflare: la nuova arma segreta dei cybercriminali per diffondere malware

Gli esperti di sicurezza informatica di Proofpoint hanno scoperto un nuovo metodo utilizzato dai cybercriminali per distribuire trojan di accesso remoto (RAT) sfruttando i tunnel di Cloudflare.

Questa tecnica permette agli attaccanti di creare tunnel temporanei senza la necessità di un account, rendendo più difficile il rilevamento e la prevenzione delle attività malevole.

Come funziona l’attacco

Gli attori della minaccia utilizzano la funzione tunnel di TryCloudflare per ottenere l’accesso remoto a dati e risorse. Questi tunnel vengono sfruttati per distribuire vari tipi di malware, tra cui XWorm, AsyncRAT, VenomRAT, GuLoader e Remcos.

Fonte Proofpoint

L’abuso da parte degli attori delle minacce dei tunnel TryCloudflare è diventato popolare nel 2023 e sembra essere in aumento tra gli attori delle minacce dei criminali informatici.”, spiega il Team di ricerca Proofpoint, “Ogni utilizzo dei tunnel TryCloudflare genererà un sottodominio casuale su trycloudflare[.]com, ad esempio ride-fatal-italic-information[.]trycloudflare[.]com. Il traffico verso i sottodomini viene inoltrato tramite Cloudflare al server locale degli operatori.”

Le campagne osservate

Le campagne di attacco iniziano generalmente con l’invio di messaggi di posta elettronica a tema fiscale/fatturazione contenenti un URL che punta ad un file .LNK o un allegato HTML con una query search-ms che punta a un file .LNK.

Fonte Proofpoint

Quando eseguiti, questi file stabiliscono una connessione a una condivisione di file esterna, solitamente tramite WebDAV, per scaricare un file LNK/VBS, eseguire un script BAT/CMD e lanciare un pacchetto Python con una serie di script che portano all’installazione dei malware.

Impatto globale

Le campagne osservate hanno avuto un impatto significativo, con volumi di messaggi che variano da centinaia a decine di migliaia, colpendo aziende a livello globale. Gli attacchi sono stati osservati in diverse lingue, tra cui inglese, francese, spagnolo e tedesco.

Considerazioni finali

L’abuso della funzione TryCloudflare rappresenta una sfida significativa per la sicurezza informatica. Gli attori delle minacce stanno sfruttando questa tecnologia per eludere le difese tradizionali e distribuire malware su larga scala.

È cruciale che le aziende adottino strategie di sicurezza avanzate e rimangano costantemente aggiornate sulle nuove tecniche di attacco per proteggere i propri dati e sistemi. In questo scenario la collaborazione tra esperti di sicurezza e fornitori di servizi sarà fondamentale per contrastare queste minacce emergenti.

Gli attori delle minacce stanno utilizzando sempre di più WebDAV e Server Message Block (SMB) per lo staging e la distribuzione del payload, mentre l’ecosistema dei criminali informatici continua a sperimentare diversi TTP. Le organizzazioni dovrebbero limitare l’accesso ai servizi di condivisione file esterni solo ai server noti e protetti.” , conclude il rapporto.

Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.