Missbrauch von Cloudflare-Tunneln

B2B Cyber Security ShortNews

Beitrag teilen

Security-Experten konnten in letzter Zeit eine neue Taktik von Cyberkriminellen identifizieren. Dabei beobachteten die Sicherheitsforscher eine zunehmende Verbreitung von Malware durch den Missbrauch von Cloudflare-Tunneln.

Cyberkriminelle machen sich dabei insbesondere die Funktion „TryCloudflare“ zunutze, mit der temporäre Tunnel ohne Account erstellt werden können. Die von Proofpoint beobachteten Aktivitäten der Angreifer sind finanziell motiviert und zielen auf die Verbreitung von Remote Access Trojanern (RATs) ab.

Anzeige

Funktionsweise der Angriffe

Die Angriffe beginnen meist mit E-Mails, die URLs oder Anhänge enthalten, die zu Internet-Links (.URL-Dateien) führen. Nach einem Klick stellen diese Verbindungen zu externen Dateifreigaben her (meist über WebDAV), um LNK- oder VBS-Dateien herunterzuladen. Diese wiederum führen BAT- oder CMD-Dateien aus, die Python-Installer und -Skripte herunterladen, die schließlich die Malware installieren. Häufig wird dem Opfer parallel eine harmlose PDF-Datei angezeigt, um den Angriff zu verschleiern.

Entwicklung der Bedrohung

Seit Proofpoint im Februar 2024 die Taktik erstmals beobachtet hat, kam es im Mai und Juni verstärkt zu entsprechenden Aktivitäten. Zunächst wurden verschiedene RATs wie AsyncRAT, VenomRAT, GuLoader und Remcos verbreitet, in letzter Zeit liegt der Schwerpunkt der Angreifer auf der Verteilung von XWorm. Die Täter ändern ständig ihre Taktiken und Techniken, um einer Erkennung zu umgehen und ihre Wirksamkeit zu erhöhen. So setzten sie beispielsweise anfangs kaum Verschleierungsmaßnahmen in den Hilfsskripten ein, während sie diese im Juni verstärkt integrierten.

Herausforderungen durch Cloudflare-Tunnel

Die Nutzung von Cloudflare-Tunneln ermöglicht es Angreifern, eine temporäre Infrastruktur zu nutzen, die schnell aufgebaut und nach kurzzeitiger Nutzung abgeschaltet werden kann. Dies erschwert die Abwehr und macht traditionelle Sicherheitsmaßnahmen wie statische Blocklisten weniger effektiv. Bemerkenswert ist auch die Verwendung von Python-Skripten zur Verbreitung von Malware. Durch die Bündelung von Python-Bibliotheken und ausführbaren Installern mit den Skripten stellen die Täter sicher, dass die Malware auch auf Rechnern ohne installiertes Python ausgeführt werden kann.

Ausblick

Der Missbrauch von Cloudflare-Tunneln ist eine ernstzunehmende Bedrohung, die sich durch ihre Flexibilität und Anpassungsfähigkeit auszeichnet. Unternehmen müssen daher ihre Sicherheitsmaßnahmen anpassen und ihre Mitarbeiter sensibilisieren, um sich vor derlei Bedrohungen zu schützen.

Mehr bei Proofpoint.com

 


Über Proofpoint

Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.


 

Passende Artikel zum Thema

Microsoft Patchday: Über 1.000 Sicherheitsupdates im Februar 2025  

Vom 6. bis 11. Februar hat Microsoft zum Patchday 1.212 Hinweise und Sicherheitsupdates für seine Services und Systeme bereitgestellt. Darunter ➡ Weiterlesen

Backdoor in Überwachungsmonitor als Schwachstelle eingestuft

Am 30. Januar veröffentlichte die US-amerikanische Cybersicherheitsbehörde CISA eine Warnung zu einer Backdoor in medizinischen Überwachungsmonitoren, die durch eine Benachrichtigung ➡ Weiterlesen

ENISA-Bericht: DoS-und DDoS-Angriffe auf Platz eins

ENISA, die Agentur für Cybersicherheit der EU, hat Cybervorfälle von 2023 bis 2024 analysiert. DDoS-Angriffe gehören mit über 40 Prozent ➡ Weiterlesen

Endpoint: Unternehmenslösungen im Test gegen Ransomware

Das AV-TEST Institut hat 8 Security-Lösungen für Unternehmen in einem erweiterten Test untersucht. Dabei stand nicht die massenhafte Erkennung von ➡ Weiterlesen

Cyberkriminelle: Skepsis gegenüber KI – Hoffnung bei DeepSeek

Eine Untersuchung von Sophos X-Ops in ausgewählten Cybercrime-Foren ergab, dass Bedrohungsakteure die KI nach wie vor nicht intensiv für ihre ➡ Weiterlesen

Software-Tester: Fake-Jobangebote mit Malware aus Nordkorea

Über eine aktive Kampagne mit gefälschten Jobangeboten auf LinkedIn greifen Hacker Bewerber an: Im Rahmen des Bewerbungsverfahrens erhalten die Angreifer ➡ Weiterlesen

Report: Gemini wird von staatlichen Hackergruppen missbraucht 

Die Google Threat Intelligence Group (GTIG) zeigt in einem Bericht, dass besonders iranische, chinesische, nordkoreanische und russische Hackergruppen auf die ➡ Weiterlesen

BKA sprengt Hackerportale mit zehn Millionen Nutzern

In der gemeinsamen Operation Talent hat die ZIT und das BKA als deutsche Beteiligung gleich zwei Hackerportale mit Cracking- & ➡ Weiterlesen