{"id":22527,"date":"2025-06-25T00:05:00","date_gmt":"2025-06-25T03:05:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=22527"},"modified":"2025-06-22T18:23:22","modified_gmt":"2025-06-22T21:23:22","slug":"tunel-cloudflare-para-distribuicao-de-malware","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/06\/basico\/tunel-cloudflare-para-distribuicao-de-malware\/","title":{"rendered":"T\u00fanel Cloudflare para distribui\u00e7\u00e3o de malware"},"content":{"rendered":"\n<p data-start=\"44\" data-end=\"122\"><strong>Campanha maliciosa abusa de t\u00fanel Cloudflare para distribui\u00e7\u00e3o de malware<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"124\" data-end=\"200\"><span class=\"relative -mx-px my-[-0.2rem] rounded px-px py-[0.2rem] transition-colors duration-100 ease-in-out\">Pesquisadores de seguran\u00e7a revelaram uma sofisticada campanha maliciosa que utiliza os <strong data-start=\"87\" data-end=\"109\">Cloudflare Tunnels<\/strong> como meio de entrega para um loader em Python, parte de uma cadeia de infec\u00e7\u00e3o bem elaborada. Batizada como <strong data-start=\"218\" data-end=\"238\">SERPENTINE#CLOUD<\/strong>, a opera\u00e7\u00e3o explora atalhos de sistema (.LNK) e scripts ofuscados para injetar em mem\u00f3ria um payload do tipo PE, usando o shellcode loader Donut<\/span>.<\/p>\n<p data-start=\"124\" data-end=\"200\">\u00a0<\/p>\n<p data-start=\"207\" data-end=\"254\"><strong>Evolu\u00e7\u00e3o da infec\u00e7\u00e3o: Est\u00e1gios e t\u00e9cnicas<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"256\" data-end=\"332\"><span class=\"relative -mx-px my-[-0.2rem] rounded px-px py-[0.2rem] transition-colors duration-100 ease-in-out\">A primeira fase da campanha j\u00e1 havia explorado arquivos .URL, mas depois evoluiu para arquivos .BAT dentro de ZIPs, que eram usados para baixar e executar o malware via t\u00faneis do Cloudflare. Em ataques mais recentes, o vetor s\u00e3o <strong data-start=\"229\" data-end=\"263\">atalhos LNK disfar\u00e7ados de PDF<\/strong>, distribu\u00eddos por e-mails de phishing com temas de pagamento e faturas, levando a uma cadeia de scripts mais complexa.<\/span><\/p>\n<p data-start=\"256\" data-end=\"332\">\u00a0<\/p>\n<p data-start=\"339\" data-end=\"397\"><strong>T\u00fanel Cloudflare: Infraestrutura oculta e resiliente<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"399\" data-end=\"475\"><span class=\"relative -mx-px my-[-0.2rem] rounded px-px py-[0.2rem] transition-colors duration-100 ease-in-out\">A campanha emprega os <strong data-start=\"22\" data-end=\"44\">Cloudflare Tunnels<\/strong>, gerando subdom\u00ednios \u201c*.trycloudflare.com\u201d controlados pelos atacantes, ocultando o tr\u00e1fego malicioso por tr\u00e1s da infraestrutura confi\u00e1vel da Cloudflare. Esse recurso permite que o payload seja entregue de forma discreta, sem disparar sistemas de defesa tradicionais<\/span>.<\/p>\n<h2 data-start=\"482\" data-end=\"515\">\u00a0<\/h2>\n<p data-start=\"482\" data-end=\"515\"><strong>Fluxo de infec\u00e7\u00e3o detalhado<\/strong><\/p>\n<ul data-start=\"517\" data-end=\"766\">\n<li data-start=\"517\" data-end=\"557\">\n<p data-start=\"520\" data-end=\"557\"><span class=\"relative -mx-px my-[-0.2rem] rounded px-px py-[0.2rem] transition-colors duration-100 ease-in-out\">O usu\u00e1rio abre um atalho LNK disfar\u00e7ado de PDF;<\/span><\/p>\n<\/li>\n<li data-start=\"558\" data-end=\"598\">\n<p data-start=\"561\" data-end=\"598\"><span class=\"relative -mx-px my-[-0.2rem] rounded px-px py-[0.2rem] transition-colors duration-100 ease-in-out\">Um script WSF \u00e9 baixado via WebDAV a partir de um t\u00fanel Cloudflare;<\/span><\/p>\n<\/li>\n<li data-start=\"599\" data-end=\"639\">\n<p data-start=\"602\" data-end=\"639\"><span class=\"relative -mx-px my-[-0.2rem] rounded px-px py-[0.2rem] transition-colors duration-100 ease-in-out\">Um arquivo BAT ofuscado baixa e instala um loader em Python;<\/span><\/p>\n<\/li>\n<li data-start=\"640\" data-end=\"682\">\n<p data-start=\"643\" data-end=\"682\"><span class=\"relative -mx-px my-[-0.2rem] rounded px-px py-[0.2rem] transition-colors duration-100 ease-in-out\">O shellcode loader injeta em mem\u00f3ria um payload PE usando inje\u00e7\u00e3o APC (\u201cEarly Bird\u201d);<\/span><\/p>\n<\/li>\n<li data-start=\"683\" data-end=\"766\">\n<p data-start=\"686\" data-end=\"766\"><span class=\"relative -mx-px my-[-0.2rem] rounded px-px py-[0.2rem] transition-colors duration-100 ease-in-out\">O payload final \u00e9 um RAT (como AsyncRAT ou RevengeRAT) \u2014 executado totalmente em RAM<\/span>\u00a0<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p data-start=\"773\" data-end=\"804\"><strong>Alvos e opera\u00e7\u00f5es globais<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"806\" data-end=\"926\"><span class=\"relative -mx-px my-[-0.2rem] rounded px-px py-[0.2rem] transition-colors duration-100 ease-in-out\">A campanha <strong data-start=\"11\" data-end=\"31\">SERPENTINE#CLOUD<\/strong> atingiu organiza\u00e7\u00f5es nos EUA, Reino Unido, Alemanha e diversas regi\u00f5es da Europa e \u00c1sia, conforme an\u00e1lise da Securonix e confirma\u00e7\u00f5es de m\u00faltiplas amostras com coment\u00e1rios em ingl\u00eas<\/span>. <span class=\"relative -mx-px my-[-0.2rem] rounded px-px py-[0.2rem] transition-colors duration-100 ease-in-out\">Esta a\u00e7\u00e3o representa uma escalada no uso de t\u00e9cnicas avan\u00e7adas aliadas ao abuso de infraestrutura leg\u00edtima, o que dificulta a detec\u00e7\u00e3o.<\/span><\/p>\n<h2 data-start=\"933\" data-end=\"973\">\u00a0<\/h2>\n<p data-start=\"933\" data-end=\"973\"><strong>A T\u00e9cnica por tr\u00e1s do tunnel abuse<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"975\" data-end=\"1095\"><span class=\"relative -mx-px my-[-0.2rem] rounded px-px py-[0.2rem] transition-colors duration-100 ease-in-out\">A utiliza\u00e7\u00e3o dos t\u00faneis tempor\u00e1rios da Cloudflare evita a necessidade de registrar dom\u00ednios ou alugar infraestrutura pr\u00f3pria, al\u00e9m de contar com prote\u00e7\u00e3o TLS e CDN. Isso faz com que a atividade maliciosa pare\u00e7a tr\u00e1fego normal, dificultando bloqueios via listas negras ou an\u00e1lise de tr\u00e1fego<\/span>. <span class=\"relative -mx-px my-[-0.2rem] rounded px-px py-[0.2rem] transition-colors duration-100 ease-in-out\">A comunica\u00e7\u00e3o costuma usar WebDAV sobre HTTPS, refor\u00e7ando o segredo da opera\u00e7\u00e3o.<\/span><\/p>\n<h2 data-start=\"1102\" data-end=\"1143\">\u00a0<\/h2>\n<p data-start=\"1102\" data-end=\"1143\"><strong>Comparativo com ataques anteriores<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"1145\" data-end=\"1350\"><span class=\"relative -mx-px my-[-0.2rem] rounded px-px py-[0.2rem] transition-colors duration-100 ease-in-out\">Essa campanha segue uma tend\u00eancia j\u00e1 observada em 2023, quando RATs como AsyncRAT, GuLoader, Remcos, VenomRAT e Xworm foram distribu\u00eddos via Cloudflare Tunnels<\/span>. Esse padr\u00e3o se repete agora sob uma forma mais escondida, com payloads carregados em mem\u00f3ria para evitar detec\u00e7\u00f5es em disco.<\/p>\n<h2 data-start=\"1357\" data-end=\"1392\">\u00a0<\/h2>\n<p data-start=\"1357\" data-end=\"1392\"><strong>Evitando ser a pr\u00f3xima v\u00edtima<\/strong><\/p>\n<p data-start=\"1394\" data-end=\"1448\">Para mitigar esse tipo de ataque, siga estas pr\u00e1ticas:<\/p>\n<ul data-start=\"1450\" data-end=\"2054\">\n<li data-start=\"1450\" data-end=\"1580\">\n<p style=\"text-align: justify;\" data-start=\"1452\" data-end=\"1580\"><strong data-start=\"1452\" data-end=\"1478\">Educa\u00e7\u00e3o anti-phishing<\/strong>: usu\u00e1rios devem desconfiar de arquivos ZIP ou links inesperados, mesmo vindos de dom\u00ednios confi\u00e1veis;<\/p>\n<\/li>\n<li data-start=\"1581\" data-end=\"1703\">\n<p style=\"text-align: justify;\" data-start=\"1583\" data-end=\"1703\"><strong data-start=\"1583\" data-end=\"1608\">Controles de execu\u00e7\u00e3o<\/strong>: bloquear atalhos LNK, scripts VBScript (.WSF) e execu\u00e7\u00e3o por WebDAV em endpoints de usu\u00e1rios;<\/p>\n<\/li>\n<li data-start=\"1704\" data-end=\"1811\">\n<p style=\"text-align: justify;\" data-start=\"1706\" data-end=\"1811\"><strong data-start=\"1706\" data-end=\"1748\">Monitoramento de tr\u00e1fego criptografado<\/strong>: inspecionar comportamento de t\u00fanel Cloudflare dentro da rede;<\/p>\n<\/li>\n<li data-start=\"1812\" data-end=\"1928\">\n<p style=\"text-align: justify;\" data-start=\"1814\" data-end=\"1928\"><strong data-start=\"1814\" data-end=\"1837\">Detec\u00e7\u00e3o em mem\u00f3ria<\/strong>: usar EDRs que identifiquem execu\u00e7\u00f5es de shellcode ou carregamento din\u00e2mico de DLL na RAM;<\/p>\n<\/li>\n<li data-start=\"1929\" data-end=\"2054\">\n<p style=\"text-align: justify;\" data-start=\"1931\" data-end=\"2054\"><strong data-start=\"1931\" data-end=\"1964\">Pol\u00edticas de download seguras<\/strong>: restringir excesso de permiss\u00f5es para evitar execu\u00e7\u00e3o de payloads via scripts ofuscados.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p data-start=\"2061\" data-end=\"2076\"><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"2078\" data-end=\"2610\">A campanha <strong data-start=\"2089\" data-end=\"2109\">SERPENTINE#CLOUD<\/strong> demonstra como cibercriminosos est\u00e3o inovando ao usar servi\u00e7os leg\u00edtimos como a infraestrutura da Cloudflare para mascarar ataques sofisticados. O uso de payloads carregados em mem\u00f3ria e pipelines complexos de infec\u00e7\u00e3o exigem uma mudan\u00e7a urgente na mentalidade de defesa: confiar apenas em reputa\u00e7\u00e3o de dom\u00ednio deixou de ser suficiente. A combina\u00e7\u00e3o de vigil\u00e2ncia no endpoint, educa\u00e7\u00e3o do usu\u00e1rio e inspe\u00e7\u00e3o de tr\u00e1fego criptografado se torna essencial para proteger organiza\u00e7\u00f5es nesta nova realidade.<\/p>\n<p data-start=\"2078\" data-end=\"2610\">\u00a0<\/p>\n<p data-start=\"2078\" data-end=\"2610\">Fonte: <a href=\"https:\/\/www.securityweek.com\/cloudflare-tunnels-abused-in-new-malware-campaign\/?utm_source=chatgpt.com\" target=\"_blank\" rel=\"noopener\">https:\/\/www.securityweek.com\/cloudflare-tunnels-abused-in-new-malware-campaign\/?utm_source=chatgpt.com<\/a><\/p>\n\n\n\n\n\n\n","protected":false},"excerpt":{"rendered":"<p>Campanha maliciosa abusa de t\u00fanel Cloudflare para distribui\u00e7\u00e3o de malware Pesquisadores de seguran\u00e7a revelaram uma sofisticada campanha maliciosa que utiliza os Cloudflare Tunnels como meio de entrega para um loader em Python, parte de uma cadeia de infec\u00e7\u00e3o bem elaborada. Batizada como SERPENTINE#CLOUD, a opera\u00e7\u00e3o explora atalhos de sistema (.LNK) e scripts ofuscados para injetar [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":22531,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-22527","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22527","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=22527"}],"version-history":[{"count":4,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22527\/revisions"}],"predecessor-version":[{"id":22533,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22527\/revisions\/22533"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/22531"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=22527"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=22527"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=22527"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}