Campanha maliciosa abusa de túnel Cloudflare para distribuição de malware
Pesquisadores de segurança revelaram uma sofisticada campanha maliciosa que utiliza os Cloudflare Tunnels como meio de entrega para um loader em Python, parte de uma cadeia de infecção bem elaborada. Batizada como SERPENTINE#CLOUD, a operação explora atalhos de sistema (.LNK) e scripts ofuscados para injetar em memória um payload do tipo PE, usando o shellcode loader Donut.
Evolução da infecção: Estágios e técnicas
A primeira fase da campanha já havia explorado arquivos .URL, mas depois evoluiu para arquivos .BAT dentro de ZIPs, que eram usados para baixar e executar o malware via túneis do Cloudflare. Em ataques mais recentes, o vetor são atalhos LNK disfarçados de PDF, distribuídos por e-mails de phishing com temas de pagamento e faturas, levando a uma cadeia de scripts mais complexa.
Túnel Cloudflare: Infraestrutura oculta e resiliente
A campanha emprega os Cloudflare Tunnels, gerando subdomínios “*.trycloudflare.com” controlados pelos atacantes, ocultando o tráfego malicioso por trás da infraestrutura confiável da Cloudflare. Esse recurso permite que o payload seja entregue de forma discreta, sem disparar sistemas de defesa tradicionais.
Fluxo de infecção detalhado
-
O usuário abre um atalho LNK disfarçado de PDF;
-
Um script WSF é baixado via WebDAV a partir de um túnel Cloudflare;
-
Um arquivo BAT ofuscado baixa e instala um loader em Python;
-
O shellcode loader injeta em memória um payload PE usando injeção APC (“Early Bird”);
-
O payload final é um RAT (como AsyncRAT ou RevengeRAT) — executado totalmente em RAM
Alvos e operações globais
A campanha SERPENTINE#CLOUD atingiu organizações nos EUA, Reino Unido, Alemanha e diversas regiões da Europa e Ásia, conforme análise da Securonix e confirmações de múltiplas amostras com comentários em inglês. Esta ação representa uma escalada no uso de técnicas avançadas aliadas ao abuso de infraestrutura legítima, o que dificulta a detecção.
A Técnica por trás do tunnel abuse
A utilização dos túneis temporários da Cloudflare evita a necessidade de registrar domínios ou alugar infraestrutura própria, além de contar com proteção TLS e CDN. Isso faz com que a atividade maliciosa pareça tráfego normal, dificultando bloqueios via listas negras ou análise de tráfego. A comunicação costuma usar WebDAV sobre HTTPS, reforçando o segredo da operação.
Comparativo com ataques anteriores
Essa campanha segue uma tendência já observada em 2023, quando RATs como AsyncRAT, GuLoader, Remcos, VenomRAT e Xworm foram distribuídos via Cloudflare Tunnels. Esse padrão se repete agora sob uma forma mais escondida, com payloads carregados em memória para evitar detecções em disco.
Evitando ser a próxima vítima
Para mitigar esse tipo de ataque, siga estas práticas:
-
Educação anti-phishing: usuários devem desconfiar de arquivos ZIP ou links inesperados, mesmo vindos de domínios confiáveis;
-
Controles de execução: bloquear atalhos LNK, scripts VBScript (.WSF) e execução por WebDAV em endpoints de usuários;
-
Monitoramento de tráfego criptografado: inspecionar comportamento de túnel Cloudflare dentro da rede;
-
Detecção em memória: usar EDRs que identifiquem execuções de shellcode ou carregamento dinâmico de DLL na RAM;
-
Políticas de download seguras: restringir excesso de permissões para evitar execução de payloads via scripts ofuscados.
Conclusão
A campanha SERPENTINE#CLOUD demonstra como cibercriminosos estão inovando ao usar serviços legítimos como a infraestrutura da Cloudflare para mascarar ataques sofisticados. O uso de payloads carregados em memória e pipelines complexos de infecção exigem uma mudança urgente na mentalidade de defesa: confiar apenas em reputação de domínio deixou de ser suficiente. A combinação de vigilância no endpoint, educação do usuário e inspeção de tráfego criptografado se torna essencial para proteger organizações nesta nova realidade.
