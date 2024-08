Abus des tunnels Cloudflare pour la diffusion des malwares

août 2024 par Proofpoint

Cette technique a été observée pour la première fois en février 2024 mais les chercheurs ont constaté une nette augmentation en mai et juin dernier. La plupart des campagnes utilisent XWorm, un cheval de Troie d’accès à distance (RAT).

D’après les chercheurs Proofpoint « L’utilisation des tunnels Cloudflare permet aux acteurs de la menace d’utiliser une infrastructure temporaire pour étendre leurs opérations, ce qui leur donne la possibilité de créer et de supprimer des instances en temps voulu. »

Les principales conclusions de l’étude sont les suivantes :

On constate une nette augmentation dans la diffusion de logiciels malveillants par l’utilisation abusive des tunnels TryCloudflare, permettant aux attaquants de créer un tunnel d’accès unique sans que cela nécessite la création d’un compte.

Les cybercriminels à l’origine de ces campagnes n’ont cessé de modifier leurs tactiques, techniques et procédures (TTP) afin de contourner les systèmes de détection et d’améliorer leur efficacité : le brouillage de code à augmenter au mois de juin.

Cette activité est motivée principalement par l’argent, et consiste à diffuser des Chevaux de Troie d’accès à distance (RAT).

Le volume des messages oscille de centaines à dizaines de milliers. Ils incluent des leurres dans différentes langues dont l’anglais, le français, l’espagnol et l’allemand.