El grupo de hackers detrás del troyano Astaroth ha cambiado sus tácticas y ahora está distribuyendo una nueva variante del malware utilizando la plataforma informática sin servidor Cloudflare Workers para evitar ser detectado por soluciones de seguridad.
Cloudflare Workers proporciona un entorno de ejecución de JavaScript ligero que permite a los desarrolladores aumentar las aplicaciones existentes o crear aplicaciones completamente nuevas sin configurar o mantener la infraestructura. “Los workers tienen un plan gratuito que cualquiera o cualquier persona puede inscribirse y obtener 100,000 solicitudes totales por día. Puede crear un número ilimitado de workers por cuenta ", explicó el investigador de malware de Check Point, Marcel Afrahim, quien descubrió la nueva campaña.
Los operadores de Astaroth aprovechan Cloudflare Workers como parte del proceso de infección en tres etapas, que comienza con un correo electrónico de phishing con archivos adjuntos HTML que contiene un código Javascript ofuscado y un enlace a un dominio que se encuentra detrás de la infraestructura web de Cloudflare. El dominio sirve para entregar varios tipos de cargas útiles en formato JSON dependiendo de la ubicación del objetivo, lo que permite a los actores de la amenaza cambiar rápidamente los archivos maliciosos para varios objetivos y evitar ser bloqueados en función de los tipos de objetos de archivo enviados a las computadoras de sus víctimas potenciales.
“Para generar la segunda etapa del ataque, se analiza el JSON de la URL, se convierte de Base64 a búfer de matriz, se escribe en el almacenamiento de blobs del navegador, se renombra para que coincida con el nombre del archivo HTML, se crea un enlace y se hace clic automáticamente para descárguelo al navegador del usuario ”, descubrió Afrahim.
La segunda etapa de la infección involucra un archivo zip que se crea en base a los datos de la URL. Ese archivo comprimido se usa para redirigir a URL apuntando al contenido de un script creado con la ayuda del editor de scripts del panel de control de Cloudflare Workers. La parte más interesante aquí es que la URL utilizada para descargar el script se puede cambiar con valores aleatorios, proporcionando "un número grande o ilimitado del nombre de host que puede ejecutar un código particular que las herramientas tradicionales de bloqueo o anti-bot no podrán detectar".
Si bien Cloudflare Workers no tiene la capacidad de alojar archivos, puede redirigir el tráfico de sus workers a un servidor de alojamiento de archivos estático sin revelar su identidad, señaló el investigador.
El archivo de script se guarda en 'temp \ Lqncxmm: vbvvjjh.js' y se ejecuta con el proceso de Windows Script Host (Wscript). Usando un simple generador de números aleatorios, los operadores de Astaroth aleatorizan la URL que descargará la carga útil de la tercera etapa. La carga útil se descargará utilizando diez enlaces de nodo Cloudflare Worker aleatorios y únicos, cada uno de ellos "tendría 900 millones de variaciones". En los sistemas que ejecutan una versión de Windows de 32 bits, los atacantes utilizan un repositorio privado de Google Storage con un enlace estático en lugar de enlaces de Cloudflare.
“La explicación más probable para esto es que querían engañar a los Sandboxes y las herramientas de análisis automatizadas. La mayoría de las sandboxes automatizadas todavía dependen del sistema de 32 bits principalmente porque tiene mejores técnicas de detección anti-sandbox. Usando este método, los actores de la amenaza entregan un COI estático al analista para mantener intacta la operación en el mundo real y los usuarios que están siendo infectados ”, dijo el investigador.
Con base en sus hallazgos, Afrahim concluyó que los malos actores detrás de esta campaña usan Cloudflare Workers y la red para:
1. Tener una red resistente, eficiente y segura para distribuir las cargas útiles.
2. Confíe en nombres de dominio y servicios confiables para ampliar la cobertura.
3. Escóndete de las cajas de arena e interrumpe las herramientas de análisis automatizadas.
4. Una forma innovadora de generar URL de carga aleatoria para cada ejecución.
5. Reconstruya la operación con facilidad en caso de compromiso.
https://blog.usejournal.com/threat-actor-behind-astaroth-is-now-using-cloudflare-workers-to-bypass-your-security-solutions-2c658d08f4c
