Bericht: Cyberkriminelle nutzen Cloudflare-Tunnel zur Verbreitung von Malware

Bisher unbekannte Cyberkriminelle nutzen "TryCloudflare" zur unbehelligten Verbreitung von Malware. Das berichten Sicherheitsexperten.

8

Cyberkriminelle nutzen Cloudflare-Tunnel, um Malware zu verbreiten.

(Bild: PORTRAIT IMAGES ASIA BY NONWARIT/Shutterstock.com)

02.08.2024, 15:52 Uhr

Lesezeit: 2 Min.

Security

Von

Marie-Claire Koch

Bisher unbekannte Cyberkriminelle nutzen weltweit Cloudflares kostenlosen Dienst "TryCloudflare" zur unbehelligten Verbreitung von Malware wie Remote-Access-Trojaner (RATs). Das berichten Sicherheitsexperten. Erste Beobachtungen gab es demnach im Februar 2024– ab Juni seien die Aktivitäten deutlich gestiegen. Cloudflares Tunnel-Funktion ermögliche es, den Datenverkehr zwischen Cloudflare und einem Webserver zu verschlüsseln und weiterzuleiten, was sich die Angreifer zunutze gemacht haben sollen.

Diagram, dass einen Anstieg von verschiedener Malware zeigt, die TryCloudflare-Tunnel nutzen. — Malware, die TryCloudflare-Tunnel nutzt. Dazu zählen unter anderem AsyncRAT, RemcosRAT, VenomRAT und XWorm

(Bild: Proofpoint)

Laut Sicherheitsexperten von Proofpoint und Esentinel verwenden die Kriminellen die Cloudflare-Tunnel, um bösartige Inhalte zu hosten und von dort aus auf die Systeme ihrer Opfer zuzugreifen. "TryCloudflare" – ein in erster Linie für Test- und Demonstrationszwecke gedachter Dienst – ermöglicht, solche Tunnel ohne Account-Registrierung anzulegen. Da der Datenverkehr durch Cloudflare geleitet wird, sei es schwer, die bösartigen Aktivitäten zu erkennen und zu blockieren – demnach ist der Remote-Zugriff auf Daten und Ressourcen leicht. Zudem seien temporäre Cloudflare-Instanzen eine kostengünstige Methode, Angriffe mit Hilfsskripten zu starten. Auch würden die Angreifer auf diese Weise statischen Sperrlisten entgehen.

Zugang mithilfe von Phishing

Für die Verbreitung der Malware werden Phishing-Köder in den Sprachen Englisch, Französisch, Spanisch und Deutsch verfasst, wie Proofpoint schreibt. Die Kriminellen schicken Hunderte bis Zehntausende Nachrichten an Unternehmen, die ertwa wie Rechnungen, Dokumentenanforderungen und Paketlieferungen aussehen.

Phishing-Mail zu Rechnungen

(Bild: Proofpoint)

Der initiale Angriffsvektor ist eine Phishing-E-Mail mit einem ZIP-Archiv, das eine LNK-Shortcut-Datei enthält. Diese wird auf einem WebDAV-Server von TryCloudflare gehostet. Nach einem Klick auf die LNK-Datei wird ein Batch-Skript ausgeführt, das für das Abrufen und Ausführen von Python-Skripten sorgt.

Angriffskette zur Verbreitung von Malware — Die Angriffe beginnen meist mit E-Mails, die URLs oder Anhänge enthalten. Mit Klick auf diese werden den Sicherheitsforschern zufolge Verbindungen zu externen Dateifreigaben hergestellt, um beispielsweise LNK-Shortcut-Dateien herunterzuladen.

(Bild: Proofpoint)

Auch PDF-Dokumente werden zur Tarnung auf dem gleichen WebDAV-Server angelegt. Um Sicherheitsüberwachungstools zu umgehen, kommt es unter anderem zu direkten Systemaufrufen.

Der Missbrauch von Cloudflare-Tunneln könne den Forschern zufolge zu Datenverlusten, Unterbrechungen im Betrieb und finanziellen Schäden führen. Um sich vor solchen Angriffen zu schützen, sollten Unternehmen und Nutzer vor allem den Datenverkehr im Auge behalten, um auffällige Aktivitäten frühzeitig zu erkennen.

Lesen Sie auch

Aufmacher Computerwurm Raspberry Robin/LNK Worm

Wurm-Infektion: Malware-Kampagne Raspberry Robin befällt Windows und Qnap-NAS

(mack)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}