Los investigadores de Proofpoint han publicado nuevos datos que revelan un aumento significativo de la distribución de malware por motivos económicos mediante el uso indebido de túneles TryCloudflare.
Los túneles son una forma de acceder de forma remota a datos y recursos que no están en la red local, como el uso de una red privada virtual (VPN) o un protocolo de shell seguro (SSH), permitiendo a los atacantes crear un túnel de un solo uso sin crear una cuenta. El volumen de estas campañas podría afectar a miles de organizaciones de todo el mundo con mensajes maliciosos en español, además de inglés, francés y alemán.
El primer caso se observó en febrero de 2024, con un marcado aumento en los meses de mayo y junio, aunque aún no se ha atribuido esta actividad a un grupo de amenazas específico. La mayoría de las campañas conducía a XWorm, un troyano de acceso remoto (RAT), aunque en algunas también tenían payloads de malware diferentes, incluyendo AsyncRAT, VenomRAT, GuLoader y Remcos. Los señuelos varían, pero suelen incluir temas de negocios, como facturas, solicitudes de documentos, entregas de paquetes e impuestos.
Estos mensajes contenían una URL o un archivo adjunto tipo PDF en apariencia legítimo que dirigían a un archivo de acceso directo a Internet (.URL). Cuando se ejecutaba, establecía una conexión con un recurso compartido de archivos externo a través de WebDAV para descargar un archivo LNK o VBS, que ponía en marcha un archivo BAT o CMD que descargaba un paquete instalador Python y una serie de scripts Python a fin de instalar un malware distinto.
“En estas campañas, los ciberdelincuentes parecían emplear instancias temporales de Cloudflare para organizar ataques con scripts de ayuda, modificando continuamente sus tácticas y técnicas, lo cual aumenta la sofisticación y dificulta tanto la detección como el desmantelamiento de estas iniciativas por parte de las medidas de seguridad tradicionales”, explica el equipo de investigación de amenazas de Proofpoint.
El uso de túneles de Cloudflare proporciona a los ciberdelincuentes una manera de usar una infraestructura temporal de bajo coste para escalar sus operaciones, proporcionando flexibilidad para crear y eliminar instancias en el momento oportuno. Asimismo, el uso de scripts Python para la distribución de malware es notable, garantizando que el malware pueda descargarse y ejecutarse en hosts que no tenían instalado Python previamente.
Desde Proofpoint recomiendan a las empresas restringir el uso de Python si no es necesario para las funciones laborales de los empleados, ya que no es la primera vez que los investigadores observan paquetes de software enviados junto con archivos de malware.
