Bericht: Cyberkriminelle nutzen Cloudflare-Tunnel zur Verbreitung von Malware
Bisher unbekannte Cyberkriminelle nutzen "TryCloudflare" zur unbehelligten Verbreitung von Malware. Das berichten Sicherheitsexperten.
Bisher unbekannte Cyberkriminelle nutzen weltweit Cloudflares kostenlosen Dienst "TryCloudflare" zur unbehelligten Verbreitung von Malware wie Remote-Access-Trojaner (RATs). Das berichten Sicherheitsexperten. Erste Beobachtungen gab es demnach im Februar 2024– ab Juni seien die Aktivitäten deutlich gestiegen. Cloudflares Tunnel-Funktion ermögliche es, den Datenverkehr zwischen Cloudflare und einem Webserver zu verschlüsseln und weiterzuleiten, was sich die Angreifer zunutze gemacht haben sollen.
Laut Sicherheitsexperten von Proofpoint und Esentinel verwenden die Kriminellen die Cloudflare-Tunnel, um bösartige Inhalte zu hosten und von dort aus auf die Systeme ihrer Opfer zuzugreifen. "TryCloudflare" – ein in erster Linie für Test- und Demonstrationszwecke gedachter Dienst – ermöglicht, solche Tunnel ohne Account-Registrierung anzulegen. Da der Datenverkehr durch Cloudflare geleitet wird, sei es schwer, die bösartigen Aktivitäten zu erkennen und zu blockieren – demnach ist der Remote-Zugriff auf Daten und Ressourcen leicht. Zudem seien temporäre Cloudflare-Instanzen eine kostengünstige Methode, Angriffe mit Hilfsskripten zu starten. Auch würden die Angreifer auf diese Weise statischen Sperrlisten entgehen.
Zugang mithilfe von Phishing
Für die Verbreitung der Malware werden Phishing-Köder in den Sprachen Englisch, Französisch, Spanisch und Deutsch verfasst, wie Proofpoint schreibt. Die Kriminellen schicken Hunderte bis Zehntausende Nachrichten an Unternehmen, die ertwa wie Rechnungen, Dokumentenanforderungen und Paketlieferungen aussehen.
Der initiale Angriffsvektor ist eine Phishing-E-Mail mit einem ZIP-Archiv, das eine LNK-Shortcut-Datei enthält. Diese wird auf einem WebDAV-Server von TryCloudflare gehostet. Nach einem Klick auf die LNK-Datei wird ein Batch-Skript ausgeführt, das für das Abrufen und Ausführen von Python-Skripten sorgt.
Auch PDF-Dokumente werden zur Tarnung auf dem gleichen WebDAV-Server angelegt. Um SicherheitsĂĽberwachungstools zu umgehen, kommt es unter anderem zu direkten Systemaufrufen.
Der Missbrauch von Cloudflare-Tunneln könne den Forschern zufolge zu Datenverlusten, Unterbrechungen im Betrieb und finanziellen Schäden führen. Um sich vor solchen Angriffen zu schützen, sollten Unternehmen und Nutzer vor allem den Datenverkehr im Auge behalten, um auffällige Aktivitäten frühzeitig zu erkennen.
(mack)