Les chercheurs de Proofpoint publient aujourd’hui une nouvelle analyse révélant une augmentation significative de diffusion de malwares pour extorquer de l’argent via des tunnels TryCloudflare.
Tribune – Cette technique a été observée pour la première fois en février 2024 mais les chercheurs ont constaté une nette augmentation en mai et juin dernier. La plupart des campagnes utilisent XWorm, un cheval de Troie d’accès à distance (RAT).
D’après les chercheurs Proofpoint :
« L’utilisation des tunnels Cloudflare permet aux acteurs de la menace d’utiliser une infrastructure temporaire pour étendre leurs opérations, ce qui leur donne la possibilité de créer et de supprimer des instances en temps voulu. »
Les principales conclusions de l’étude sont les suivantes :
- On constate une nette augmentation dans la diffusion de logiciels malveillants par l’utilisation abusive des tunnels TryCloudflare, permettant aux attaquants de créer un tunnel d’accès unique sans que cela nécessite la création d’un compte.
- Les cybercriminels à l’origine de ces campagnes n’ont cessé de modifier leurs tactiques, techniques et procédures (TTP) afin de contourner les systèmes de détection et d’améliorer leur efficacité : le brouillage de code à augmenter au mois de juin.
- Cette activité est motivée principalement par l’argent, et consiste à diffuser des Chevaux de Troie d’accès à distance (RAT).
- Le volume des messages oscille de centaines à dizaines de milliers. Ils incluent des leurres dans différentes langues dont l’anglais, le français, l’espagnol et l’allemand.
Vous trouverez l’intégralité de cette analyse sur le site de Proofpoint : https://www.proofpoint.com/us/blog/threat-insight/threat-actor-abuses-cloudflare-tunnels-deliver-rats
