Trabajadores de Cloudflare explotados por BlackWater Malware para comunicaciones C2

Los atacantes que abusan de los servicios legítimos para esconderse de las balizas son bastante comunes. BleepingComputer descubrió un incidente reciente, donde un grupo de malware llamado BlackWater está utilizando el software Workers de Cloudflare para implementar y ejecutar malware. El software Cloudflare Workers actúa como una puerta de entrada legítima a las comunicaciones de malware con el servidor C2 del atacante.

Cloudflare Workers es un servicio que permite a los desarrolladores implementar código (principalmente JavaScript) en Cloudflare’s Edge, una PC cliente (trabajador) en la nube, en lugar de almacenarlo en el servidor. Esto actúa como una interfaz para los servidores maliciosos, ya que lo que ve el software antivirus son los clientes que se conectan a Cloudflare Edge. Además, se pueden utilizar incorrectamente para modificar la salida e implementar programas que se ejecutan en JavaScript.

BlackWater abusando de los trabajadores de Cloudflare

Se ve a los atacantes desconocidos detrás de BlackWater haciendo un mal uso de los trabajadores de Cloudflare para ejecutar su malware. Una observación reciente de MalwareHunter revela una campaña que acosa archivos ejecutables maliciosos bajo la apariencia de documentos de Word. Aunque los investigadores creen que el origen es a través de correos electrónicos de phishing, estos archivos ejecutables (.rar) afirman ser para proporcionar precauciones para el coronavirus.

Ejecutable malicioso sin y con extensión

El documento se nombra «Importante: COVID-19.rar», provocando así tentaciones en las que los usuarios pueden hacer clic. Pero, al ser un ejecutable por naturaleza, ejecuta el código en la espalda del usuario y muestra las precauciones generales de Coronavirus a los usuarios como cebo. Desafortunadamente, Microsoft ha desactivado la visualización de las extensiones de un documento desde su última actualización, lo que facilita la manipulación por parte de los atacantes.

Inmediatamente después de abrir el ejecutable, el malware muestra el documento del usuario que contiene las precauciones contra virus y extrae otro ejecutable para % Perfil de usuario% AppData Local Library SQL bin versión 5.0 sqltuner.exe Archivo. Este malware BlackWater reciente se conecta al servidor de Comando y Control de Trabajadores de Cloudflare para recibir instrucciones o conectarse indirectamente a atacantes C2.

Documento de precauciones del señuelo

Por lo general, el malware después de ser implementado en una PC normalmente se pone en contacto con el servidor C2 del atacante para recibir comandos para su explotación. Aquí también sucede lo mismo, pero aprovechar Cloudflare Workers es solo para evitar que los programas antivirus lo detecten. Como este software no indica el tráfico que se envía al servidor legítimo (Cloudflare Workers), BlackWater, utilizando Workers como un desvío, pasa fácilmente.

A través de la: BleepingComputadora