La crescente minaccia informatica legata all’uso improprio del servizio Cloudflare Tunnel da parte di attori malevoli sta destando preoccupazione tra gli esperti di sicurezza. Utilizzando questa piattaforma, i cybercriminali stanno conducendo campagne che distribuiscono Trojan di accesso remoto , come AsyncRAT e GuLoader. Questo articolo esplora in dettaglio le modalità operative di questi attacchi e l’impatto che possono avere su vari settori.
Il servizio Cloudflare Tunnel consente di creare un tunnel protetto per il traffico, permettendo l’accesso a risorse locali senza esporre indirizzi IP. Questa funzionalità offre vantaggi significativi in termini di sicurezza ed efficienza, eliminando la necessità di porte pubbliche aperte o configurazioni VPN. Con l’opzione TryCloudflare, gli utenti possono testare il servizio generando tunnel temporanei per i loro server, potendo così accedere alla rete di Cloudflare senza possedere un account.
La peculiarità della tecnologia TryCloudflare gioca a favore dei malintenzionati, i quali possono generare sottodomini casuali per nascondere le loro attività. Attraverso questi tunnel, gli attaccanti hanno trasmesso ogni sorta di malware, con un focus particolare sui RATs che consentono l’accesso remoto a sistemi compromessi. Questa tecnica non solo garantisce loro la possibilità di operare in anonimato, ma anche di sfuggire ai sistemi di rilevazione, aumentando quindi il rischio per le organizzazioni target.
Secondo l’analisi condotta da Proofpoint, i bersagli principali di questi attacchi includono settori critici come legge, finanza, manifatturiero e tecnologia. I malintenzionati si servono di email ingannevoli a tema fiscale, contenenti link o allegati malevoli sotto forma di file .LNK. Una volta aperti, tali file eseguono script BAT o CMD, avviando quindi l’installazione di payload PowerShell per finalizzare l’attacco.
Proofpoint ha mappato due catene di attacco separate, entrambe caratterizzate da una pioggia di comunicazioni dannose. Una prima ondata di email risalente al 28 maggio ha visto la diffusione di meno di 50 messaggi, mentre l’ultima campagna, iniziata l’11 luglio, ha superato i 1.500 messaggi maligni. La differenza nel volume evidenzia l’incremento della sofisticazione degli attaccanti e la crescita della loro audacia.
Il fatto che i file LNK siano ospitati su domini legittimi come TryCloudflare apporta una serie di vantaggi per i malintenzionati. Infatti, il traffico risultante appare autentico a causa della reputazione della piattaforma, rendendo difficile per le difese tradizionali individuare e bloccare le attività malevole. Inoltre, il carattere temporaneo dei sottodomini creati dalla funzione TryCloudflare rende le misure di blocco inefficaci nel lungo termine.
Dal punto di vista economico, l’utilizzo del servizio Cloudflare è altamente vantaggioso per i criminali informatici. Essendo gratuito, consente loro di risparmiare sui costi di creazione di infrastrutture proprie, mentre l’automazione dei processi permette di condurre operazioni su larga scala. Questo scenario rappresenta un grave rischio, poiché i team di sicurezza informatica faticano ad adattarsi a una minaccia in continua evoluzione e sempre più sofisticata.
BleepingComputer ha contattato Cloudflare per ricevere un commento ufficiale sull’attività reportata da Proofpoint, e un rappresentante dell’azienda ha fornito una dichiarazione sul tema, sottolineando l’impegno della società nella lotta contro tali abusi.