Gli esperti di sicurezza informatica di Proofpoint hanno scoperto un nuovo metodo utilizzato dai cybercriminali per distribuire trojan di accesso remoto (RAT) sfruttando i tunnel di Cloudflare.
Questa tecnica permette agli attaccanti di creare tunnel temporanei senza la necessità di un account, rendendo più difficile il rilevamento e la prevenzione delle attività malevole.
Come funziona l’attacco
Gli attori della minaccia utilizzano la funzione tunnel di TryCloudflare per ottenere l’accesso remoto a dati e risorse. Questi tunnel vengono sfruttati per distribuire vari tipi di malware, tra cui XWorm, AsyncRAT, VenomRAT, GuLoader e Remcos.
“L’abuso da parte degli attori delle minacce dei tunnel TryCloudflare è diventato popolare nel 2023 e sembra essere in aumento tra gli attori delle minacce dei criminali informatici.”, spiega il Team di ricerca Proofpoint, “Ogni utilizzo dei tunnel TryCloudflare genererà un sottodominio casuale su trycloudflare[.]com, ad esempio ride-fatal-italic-information[.]trycloudflare[.]com. Il traffico verso i sottodomini viene inoltrato tramite Cloudflare al server locale degli operatori.”
Le campagne osservate
Le campagne di attacco iniziano generalmente con l’invio di messaggi di posta elettronica a tema fiscale/fatturazione contenenti un URL che punta ad un file .LNK o un allegato HTML con una query search-ms che punta a un file .LNK.
Quando eseguiti, questi file stabiliscono una connessione a una condivisione di file esterna, solitamente tramite WebDAV, per scaricare un file LNK/VBS, eseguire un script BAT/CMD e lanciare un pacchetto Python con una serie di script che portano all’installazione dei malware.
Impatto globale
Le campagne osservate hanno avuto un impatto significativo, con volumi di messaggi che variano da centinaia a decine di migliaia, colpendo aziende a livello globale. Gli attacchi sono stati osservati in diverse lingue, tra cui inglese, francese, spagnolo e tedesco.
Considerazioni finali
L’abuso della funzione TryCloudflare rappresenta una sfida significativa per la sicurezza informatica. Gli attori delle minacce stanno sfruttando questa tecnologia per eludere le difese tradizionali e distribuire malware su larga scala.
È cruciale che le aziende adottino strategie di sicurezza avanzate e rimangano costantemente aggiornate sulle nuove tecniche di attacco per proteggere i propri dati e sistemi. In questo scenario la collaborazione tra esperti di sicurezza e fornitori di servizi sarà fondamentale per contrastare queste minacce emergenti.
“Gli attori delle minacce stanno utilizzando sempre di più WebDAV e Server Message Block (SMB) per lo staging e la distribuzione del payload, mentre l’ecosistema dei criminali informatici continua a sperimentare diversi TTP. Le organizzazioni dovrebbero limitare l’accesso ai servizi di condivisione file esterni solo ai server noti e protetti.” , conclude il rapporto.