Cloudflare Tunnels: de herramienta de seguridad a vector de ataques

Proofpoint está rastreando la actividad de ciberdelincuentes que utilizan Cloudflare Tunnels para distribuir malware. Los atacantes utilizan la función TryCloudflare, que permite crear un túnel de un solo uso sin registrar una cuenta. Los túneles están diseñados para el acceso remoto a datos y recursos, similar a una VPN o SSH.

La cadena de ataques comienza con el envío de un mensaje con un enlace o un archivo adjunto que lleva a un archivo URL. Al abrirse, el archivo se conecta a un almacenamiento de archivos externo a través de WebDAV para descargar un archivo LNK o VBS. La ejecución de estos archivos lleva al lanzamiento de un BAT o CMD, que descarga un paquete de instalación de Python y una serie de scripts, finalizando con la instalación de malware. En algunos casos, se utiliza el protocolo search-ms para obtener archivos LNK a través de WebDAV. Los atacantes a menudo muestran un PDF inofensivo en la pantalla de la víctima para que el usuario no sospeche nada.

La mayoría de las campañas recientes han dado como resultado la instalación del troyano RAT Xworm, aunque anteriormente también se utilizaron AsyncRAT, VenomRAT, GuLoader y Remcos. Algunas campañas incluyen múltiples cargas maliciosas diferentes, y cada script de Python único lleva a la instalación de un software diferente.

Los volúmenes de envíos varían desde cientos hasta decenas de miles de mensajes, afectando a numerosas organizaciones en todo el mundo. Los mensajes se redactan en varios idiomas: inglés, francés, español y alemán. Los correos abordan temas de negocios: facturas, solicitudes de documentos, entregas de paquetes y impuestos.

A pesar de la estabilidad de las tácticas, técnicas y procedimientos (TTP) de las campañas, los atacantes cambian constantemente partes de la cadena de ataques para aumentar su complejidad y evadir la protección. Por ejemplo, en las campañas iniciales, los scripts estaban casi sin enmascarar y contenían comentarios detallados sobre la funcionalidad del código. Sin embargo, posteriormente, los delincuentes comenzaron a ocultar el código.

Cabe destacar que la cadena de ataques requiere la interacción de la víctima para activar la carga final, lo que brinda al receptor varias oportunidades para detectar actividad sospechosa.

La popularidad de TryCloudflare Tunnels entre los ciberdelincuentes comenzó a crecer en 2023. El uso de la tecnología permite a los atacantes escalar operaciones temporalmente, lo que dificulta la protección y detección de ataques. Los ejemplares temporales de Cloudflare permiten a los delincuentes llevar a cabo ataques con costos mínimos utilizando scripts auxiliares, reduciendo la probabilidad de detección y mitigación.

El uso de scripts de Python para entregar malware también merece atención. Los paquetes de bibliotecas de Python y el archivo de instalación garantizan que el malware se pueda descargar e instalar en hosts donde Python no estaba previamente instalado. Por lo tanto, se recomienda a las organizaciones limitar la utilización de Python si no es necesario para las tareas laborales de los empleados.