Abuso de túneis da Cloudflare

Abuso de túneis da Cloudflare em nova campanha de malware

A crescente sofisticação das cadeias de infecção em ambientes corporativos ganhou mais um capítulo relevante com a identificação da campanha apelidada de Serpentine#Cloud. Nela, atores maliciosos aproveitam o serviço de túneis da Cloudflare — originalmente criado para facilitar a exposição segura de recursos internos à Internet — para distribuir carregadores em Python e executar-em memória payloads do tipo arquivo PE, escondendo-se sob camadas de script, arquivos de atalho e infraestruturas aparentemente legítimas.

Essa tendência ilustra duas vertentes preocupantes no cenário de ameaças: por um lado, a utilização de infraestrutura legítima como disfarce; por outro, a adoção de processos de infecção que reduzem rastros em disco e dificultam a detecção por soluções tradicionais.

 

Descrição da campanha e técnica de infecção

A sequência da campanha começa com um e-mail de phishing que, comumente, aborda temas de pagamento, faturas ou remessas — assuntos de alto engajamento para ambientes corporativos. O anexo ou link leva a um arquivo ZIP contendo, por exemplo, um atalho Windows (.LNK) disfarçado como documento PDF ou outro arquivo confiável. Essa mudança de artifício (de .URL para .LNK) revela a evolução do modus operandi.

Ao acionar o atalho, inicia-se uma cadeia de etapas de infecção que pode incluir:

  • Execução do atalho que aciona via robocopy ou outro utilitário legítimo o download de um arquivo WSF hospedado por meio de um túnel Cloudflare (via WebDAV)

  • O WSF invoca um batch (.BAT) ou CMD ofuscado que, por sua vez, baixa componentes em Python e componentes empacotados usando o utilitário Donut para injeção em memória

  • A injeção de shellcode “Early Bird APC” dentro de um novo processo Windows contorna a gravação de arquivos no disco, culminando com a carga de RATs (Remote Access Trojans) como AsyncRAT ou RevengeRAT

  • Esse conjunto de técnicas tem por objetivo reduzir detecção, evitar bloqueios baseados em IP ou domínios conhecidos e aproveitar a reputação da infraestrutura Cloudflare para “misturar-se” no tráfego legítimo.

 

Por que a infraestrutura da Cloudflare é abusada?

Há várias razões que explicam o apelo para os atacantes:

  • Os túneis fornecem um canal criptografado (HTTPS) e muitas vezes já confiável para a organização-alvo, o que dificulta a visibilidade ou bloqueio por controles de rede tradicionais ou listas estáticas de bloqueio.

  • O serviço de túnel permite a exposição de recursos internos ou compartilhamentos sem a necessidade de registrar domínios ou configurar servidores VPS acessíveis externamente — reduzindo custo e esforço para o invasor.

  • A natureza efêmera dos túneis — com subdomínios gerados dinamicamente (por exemplo, *.trycloudflare[.]com) — torna a aplicação de regras de bloqueio mais complexa, pois o domínio usado pode ser rapidamente descartado ou alterado.

  • Esses fatores combinados aumentam o risco para organizações que não têm mecanismos de visibilidade, registro e análise de tráfego de túnel ou que dependem exclusivamente de listas de bloqueio baseadas em reputação de IP/domínio.

 

Implicações para defesa e visibilidade]

A campanha Serpentine#Cloud e outras similares impõem uma revisão dos controles de segurança, especialmente no âmbito de segmentação, visibilidade e resposta. Algumas implicações são:

  • A necessidade de monitorar com rigor o uso de clientes de túnel ou software de “túnel reverso”, especialmente em hosts finais (endpoints) ou servidores que, em regra, não deveriam estabelecer túneis externos não autorizados.

  • A exigência de inspeção de tráfego TLS/HTTPS ou análise de comportamento (em vez de confiar apenas em bloqueio de domínios) para distinguir conexões “normais” de túneis maliciosos. Como os túneis passam por infraestrutura legítima, há necessidade de detecção por padrão ou anomalia.

  • A importância de políticas de controle rígidas sobre macros, scripts, atalho (LNK/VBS) e arquivos compactados (.ZIP) anexados em e-mails ou via redes internas, bem como o reforço da visibilidade de extensões de arquivo e alertas para execução a partir de localizações incomuns.

  • A adoção de segmentação de rede, controle de execução (execução restrita de scripts e Python em hosts sem necessidade funcional), e a consideração de que ambientes que permitem execução dinâmica de código (por exemplo, Python) elevam o risco se não forem gerenciados.

  • Além disso, o fato de o ataque incluir uma cadeia multi-estágio aumenta a janela de oportunidade para intervenção: desde o momento em que o usuário clica no atalho, até o momento em que o shellcode é injetado, há maneiras de detectar atividades suspeitas — por exemplo, criação de processos não usuais, execução de robocopy ou download de scripts via WebDAV.

 

Boas práticas e recomendações para mitigação]

Para organizações que desejam se proteger frente a esse tipo de ameaça, recomendo as seguintes ações:

  • Estabelecer políticas que limitem ou bloqueiem a criação de túneis não autorizados (por exemplo, clientes como Cloudflare Tunnel, OpenVPN, ngrok e similares) e monitorar de forma proativa a inscrição desses serviços no ambiente.

  • Implementar filtragem de anexos de e-mail: bloquear ou colocar em sandbox arquivos .ZIP contendo .LNK, .URL, .BAT, .WSF ou .VBS, ou exigir inspeção antes da entrega, especialmente quando o contexto for cobrança, pagamento ou fatura.

  • Habilitar visibilidade de extensão de arquivos, alertas para dupla extensão ou disfarces de atalho (por exemplo, PDF ⇨ .LNK) e restringir a execução automática de arquivos de atalho vindos de e-mail ou da internet.

  • Monitorar execução de scripts ou intérpretes (como Python) em endpoints onde seu uso não é justificado, e aplicar controle de aplicações (application whitelisting) quando possível.

  • Ampliar a visibilidade de rede: registrar DNS, conexões de saída, resolver monitoramento de novos subdomínios, e estabelecer alertas para padrões atípicos (por exemplo, numerosos túneis criados ou tráfego de túnel vindo de hosts internos).

  • Treinar usuários para reconhecerem phishing que usem temas como “fatura pendente”, “documento para pagamento”, “remessa urgente”, bem como reforçar a política de não clicar em links ou baixar arquivos sem verificação, sobretudo se solicitados a habilitar macros, descompactar arquivos ou executar algo.

  • Preparar planos de resposta que considerem infecções em memória (fileless), injeção de processos e persistência oculta — ou seja, não depender apenas de antivírus tradicional, mas de deteção comportamental e resposta a incidentes.

 

Conclusão

A campanha Serpentine#Cloud evidencia que o campo de batalha da cibersegurança migra cada vez mais para “infraestrutura legitima explorada” e “execução em memória”. A utilização de túneis legítimos da Cloudflare como meio de entrega de malware, combinada com cadências de infecção em múltiplos estágios, desafia as abordagens tradicionais de bloqueio por reputação ou assinatura. Para ambientes corporativos, isso reforça dois axiomas: primeiro, que a defesa não pode se basear somente em impedir domínios ou IPs, mas em visibilidade, análise de comportamento e controle de execução; segundo, que a conscientização do usuário, políticas rígidas de execução de scripts/atalhos e a limpeza do ambiente (menos softwares instalados, menos permissões elevadas) continuam sendo peças centrais da estratégia de mitigação. Em um cenário onde até mesmo serviços em nuvem ou “ferramentas produtivas” podem ser subvertidos, a abordagem deve ser holística: monitorar, controlar, educar e responder de forma ágil. Somente assim as organizações poderão limitar o risco imposto por campanhas como esta, que combinam engenhosidade de engenharia social, infraestrutura terceirizada e evasão técnica.

 

Referências bibliográficas

Arghire, Ionut. Cloudflare Tunnels Abused in New Malware Campaign. SecurityWeek, 2025. Disponível em: https://www.securityweek.com/cloudflare-tunnels-abused-in-new-malware-campaign/

Dunn, John E. Phishing campaign abuses Cloudflare Tunnels to sneak malware past firewalls. CSO Online, 2025. Disponível em: https://www.csoonline.com/article/4009636/phishing-campaign-abuses-cloudflare-tunnels-to-sneak-malware-past-firewalls.html