Cảnh báo: TryCloudflare bị lạm dụng để phát tán phần mềm độc hại truy cập từ xa

Các nhà nghiên cứu bảo mật quốc tế đang phát đi cảnh báo về việc hacker đang có xu hướng đẩy mạnh lạm dụng dịch vụ Cloudflare Tunnel trong các chiến dịch phần mềm độc hại phát tán trojan truy cập từ xa (RAT) cực kỳ nghiêm trọng.

Hoạt động tội phạm mạng này lần đầu tiên được phát hiện vào tháng 2 năm này, lợi dụng dịch vụ miễn phí TryCloudflare để phát tán nhiều chủng RAT khác nhau. Có thể kể đến những cái tên được gắn nhãn nguy hiểm cao như AsyncRAT, GuLoader, VenomRAT, Remcos RAT và Xworm.

Dịch vụ Cloudflare Tunnel cho phép proxy lưu lượng truy cập qua tunnel được mã hóa để truy cập các dịch vụ và máy chủ cục bộ qua internet mà không để lộ địa chỉ IP. Điều này sẽ đi kèm với tính bảo mật và tiện lợi bổ sung vì không cần mở bất kỳ cổng vào công khai hoặc thiết lập kết nối VPN nào.

Với TryCloudflare, người dùng có thể tạo tunnel tạm thời đến máy chủ cục bộ và thử nghiệm dịch vụ mà không cần tài khoản Cloudflare. Mỗi tunnel tạo ra một tên miền phụ ngẫu nhiên tạm thời trên tên miền trycloudflare.com, được sử dụng để định tuyến lưu lượng truy cập qua mạng của Cloudflare đến máy chủ cục bộ. Trước đây, hacker đã từng lợi dụng tính năng này để truy cập từ xa vào các hệ thống bị xâm phạm trong khi vẫn có thể lẩn tránh bị phát hiện.

Báo cáo mới từ công ty an ninh mạng Proofpoint cho biết họ đã quan sát thấy hoạt động phần mềm độc hại nhắm vào các tổ chức luật, tài chính, sản xuất và công nghệ bằng các tệp .LNK độc hại được lưu trữ trên miền TryCloudflare hợp pháp.

Các tác nhân đe dọa đang dụ mục tiêu bằng những email có chủ đề về thuế với URL hoặc tệp đính kèm dẫn đến payload LNK. Khi được khởi chạy, payload sẽ chạy các tập lệnh BAT hoặc CMD triển khai PowerShell.

Ở giai đoạn cuối của cuộc tấn công, trình cài đặt Python được tải xuống cho payload cuối cùng. Proofpoint báo cáo rằng đợt phân phối email bắt đầu vào ngày 11 tháng 7, và đã phân phối hơn 1.500 tin nhắn độc hại.

Lưu trữ tệp LNK trên Cloudflare mang lại một số lợi ích, bao gồm cả việc làm cho lưu lượng truy cập có vẻ hợp pháp nhờ danh tiếng của dịch vụ này. Hơn nữa, TryCloudflare Tunnel cung cấp tính ẩn danh và các tên miền phụ phục vụ LNK chỉ là tạm thời, do đó việc chặn chúng không thực sự giúp ích nhiều.

Cuối cùng, dịch vụ này miễn phí và đáng tin cậy, do đó, tội phạm mạng không cần phải chi trả chi phí thiết lập cơ sở hạ tầng của riêng mình. Nếu sử dụng tự động hóa để tránh bị Cloudflare chặn, hacker có thể lợi dụng các tunel đó ngay cả đối với các hoạt động quy mô lớn.