Cybersecuritybedrijven waarschuwen voor een toename in het misbruik van de gratis service TryCloudflare van Clouflare voor het verspreiden van malware.
De activiteit, gedocumenteerd door zowel eSentire als Proofpoint, omvat het gebruik van TryCloudflare om een eenmalige tunnel te creëren die fungeert als kanaal om verkeer van een door een aanvaller gecontroleerde server door te geven aan een lokale machine via de infrastructuur van Cloudflare.
Er zijn aanvalsketens waargenomen die misbruik maken van deze techniek en een cocktail van malwarefamilies leveren, zoals AsyncRAT, GuLoader, PureLogs Stealer, Remcos RAT, Venom RAT en XWorm.
De eerste toegangsvector is een phishing-e-mail met een ZIP-archief, dat een URL-snelkoppelingsbestand bevat dat de ontvanger van het bericht naar een Windows-snelkoppelingsbestand leidt dat wordt gehost op een TryCloudflare-proxy-WebDAV-server.
Het snelkoppelingsbestand voert vervolgens batchscripts voor de volgende fase uit die verantwoordelijk zijn voor het ophalen en uitvoeren van aanvullende Python-payloads, terwijl tegelijkertijd een lok-PDF-document wordt weergegeven dat op dezelfde WebDAV-server is gehost om de list in stand te houden.
“Deze scripts voerden acties uit zoals het starten van valse PDF’s, het downloaden van aanvullende schadelijke payloads en het wijzigen van bestandskenmerken om detectie te voorkomen”, aldus eSentire.
“Een belangrijk onderdeel van hun strategie was het gebruik van directe systeemoproepen om beveiligingscontroletools te omzeilen, het decoderen van lagen shellcode en het implementeren van de Early Bird APC-wachtrij-injectie om code heimelijk uit te voeren en detectie effectief te omzeilen.”

Volgens Proofpoint zijn de phishing-lokmiddelen geschreven in het Engels, Frans, Spaans en Duits, met e-mailvolumes variërend van honderden tot tienduizenden berichten die gericht zijn op organisaties van over de hele wereld. De thema’s bestrijken een breed scala aan onderwerpen, zoals facturen, documentaanvragen, pakketbezorgingen en belastingen.
De campagne werd weliswaar toegeschreven aan één cluster van gerelateerde activiteiten, maar is niet gekoppeld aan een specifieke dreigingsactor of groep. De leverancier van e-mailbeveiliging was echter van mening dat er een financieel motief achter zat.
Het misbruik van TryCloudflare voor kwaadaardige doeleinden werd vorig jaar voor het eerst opgemerkt, toen Sysdig een cryptojacking- en proxyjackingcampagne met de naam LABRAT ontdekte. Deze campagne gebruikte een inmiddels gepatchte kritieke fout in GitLab als wapen om doelwitten te infiltreren en hun command-and-control (C2)-servers te verbergen met behulp van Cloudflare-tunnels.
Bovendien vereist het gebruik van WebDAV en Server Message Block (SMB) voor het voorbereiden en leveren van payloads dat ondernemingen de toegang tot externe bestandsdelingsservices beperken tot alleen bekende, op de toegestane lijst geplaatste servers.
“Dankzij Cloudflare-tunnels kunnen kwaadwillenden tijdelijke infrastructuur gebruiken om hun activiteiten op te schalen en beschikken ze over de flexibiliteit om snel instanties te bouwen en te verwijderen”, aldus Proofpoint-onderzoekers Joe Wise en Selena Larson.

“Dit maakt het moeilijker voor verdedigers en traditionele beveiligingsmaatregelen zoals het vertrouwen op statische blokkeerlijsten. Tijdelijke Cloudflare-instanties bieden aanvallers een goedkope methode om aanvallen uit te voeren met helperscripts, met beperkte blootstelling voor detectie- en verwijderingsinspanningen.”
Deze bevindingen komen nadat het Spamhaus Project Cloudflare heeft opgeroepen om zijn anti-misbruikbeleid te herzien nadat cybercriminelen zijn diensten hebben misbruikt om kwaadaardige acties te maskeren en hun operationele veiligheid te verbeteren door middel van wat ‘living-off-trusted-services’ (LoTS) wordt genoemd.
Er werd gezegd dat het “misdadigers hun domeinen, die al in de DBL staan, naar Cloudflare verplaatst om de achterkant van hun operatie te verhullen, of het nu gaat om spamvertized domeinen, phishing of erger.”