Cada vez es más común escuchar sobre nuevas amenazas cibernéticas que ponen en riesgo la seguridad de nuestros datos personales y corporativos. Una de las tácticas recientes más preocupantes es la explotación del túnel de Cloudflare por parte de hackers para lanzar campañas de malware. Investigadores han alertado sobre un incremento en el uso indebido del servicio Cloudflare Tunnel por parte de actores malintencionados para llevar a cabo campañas de malware, centradas principalmente en la distribución de troyanos de acceso remoto (RAT).
El servicio Cloudflare Tunnel permite redirigir el tráfico a través de un túnel cifrado, facilitando el acceso a servicios y servidores locales en Internet sin necesidad de exponer direcciones IP. Esto proporciona una mayor seguridad y comodidad, eliminando la necesidad de abrir puertos públicos o configurar conexiones VPN.
TryCloudflare permite a los usuarios crear túneles temporales a servidores locales y probar el servicio sin necesidad de una cuenta de Cloudflare. Cada túnel genera un subdominio temporal y aleatorio en el dominio trycloudflare.com, que enruta el tráfico a través de la red de Cloudflare hasta el servidor local.
Los actores malintencionados han explotado esta función para obtener acceso remoto a sistemas comprometidos y evadir la detección.
Campañas de Malware y RATs Distribuidos
Detectada por primera vez en febrero, esta actividad cibercriminal utiliza el servicio gratuito TryCloudflare para propagar varios RAT, entre ellos AsyncRAT, GuLoader, VenomRAT, Remcos RAT y Xworm.
- AsyncRAT: Conocido por sus capacidades de vigilancia y control remoto, este RAT permite a los atacantes registrar pulsaciones de teclas, capturar pantallas y robar datos.
- GuLoader: Utilizado principalmente para descargar y ejecutar cargas maliciosas adicionales, GuLoader es conocido por su capacidad de evadir la detección de antivirus.
- VenomRAT: Este malware ofrece a los atacantes acceso remoto completo, permitiéndoles controlar dispositivos comprometidos y robar información sensible.
- Remcos RAT: Famoso por su versatilidad, Remcos RAT permite la ejecución remota de comandos, la captura de pantalla y la extracción de datos.
- Xworm: Otro RAT potente que ofrece a los atacantes una variedad de herramientas para comprometer y controlar sistemas infectados.
Conoce más sobre: Hackers usan Fallo en CrowdStrike para Propagar Malware Remcos RAT
Última campaña
Recientemente, se ha observado una campaña de malware dirigida a organizaciones en sectores legales, financieros, manufactureros y tecnológicos. Esta actividad utiliza archivos .LNK maliciosos alojados en el dominio legítimo TryCloudflare.
Los atacantes atraen a sus víctimas con correos electrónicos relacionados con temas impositivos que incluyen URLs o archivos adjuntos, los cuales llevan a la carga útil LNK. Al ejecutarse, esta carga útil desencadena scripts BAT o CMD que a su vez implementan PowerShell.
En la etapa final del ataque, se descargan instaladores de Python para la carga útil definitiva. Por otro lado, se ha observado que una ola de distribución de correo electrónico iniciada el 11 de julio distribuyó más de 1.500 mensajes maliciosos, mientras que una ola anterior, el 28 de mayo, contenía menos de 50 mensajes.
Alojar archivos LNK en Cloudflare ofrece varios beneficios, como hacer que el tráfico parezca legítimo debido a la reputación del servicio. Además, la función TryCloudflare Tunnel proporciona anonimato, y los subdominios que sirven LNK son temporales, lo que dificulta su bloqueo efectivo.
En definitiva, el servicio es gratuito y fiable, eliminando la necesidad de que los ciberdelincuentes cubran los costos de configurar su propia infraestructura. Si se emplea la automatización para evadir los bloqueos de Cloudflare, estos túneles pueden ser abusados incluso para operaciones a gran escala.
Te podrá interesar leer: ¿Por qué tu Empresa debe contar con CDN?
Para protegerse contra este tipo de amenazas, se recomienda seguir una serie de prácticas de seguridad:
- Mantén el Software Actualizado: Asegúrate de que todos tus sistemas y aplicaciones estén al día con los últimos parches y actualizaciones de seguridad.
- Usa Soluciones de Seguridad Avanzadas: Implementa herramientas de seguridad que incluyan análisis de comportamiento y monitoreo de tráfico en tiempo real.
- Educa a los Usuarios: La concienciación sobre las técnicas de phishing y otras tácticas de ingeniería social es crucial para prevenir infecciones.
- Monitorea y Audita: Realiza auditorías regulares de la red y analiza los registros para detectar cualquier actividad sospechosa o anómala.
Conclusión
El uso indebido del servicio Cloudflare Tunnel por parte de actores de amenazas subraya la importancia de mantenerse vigilante y proactivo en la ciberseguridad. Al comprender cómo operan estos ataques y adoptar medidas de protección adecuadas, puedes reducir significativamente el riesgo de ser víctima de estas sofisticadas campañas de malware. Mantente informado y preparado para defender tus activos digitales contra las amenazas emergentes en el panorama cibernético.
