{"id":23524,"date":"2025-11-20T08:00:00","date_gmt":"2025-11-20T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23524"},"modified":"2025-11-19T08:14:46","modified_gmt":"2025-11-19T11:14:46","slug":"abuso-de-tuneis-da-cloudflare","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/11\/exploits\/abuso-de-tuneis-da-cloudflare\/","title":{"rendered":"Abuso de t\u00faneis da Cloudflare"},"content":{"rendered":"\n<p style=\"text-align: justify;\" data-start=\"0\" data-end=\"893\"><strong data-start=\"0\" data-end=\"61\">Abuso de t\u00faneis da Cloudflare em nova campanha de malware<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"0\" data-end=\"893\">A crescente sofistica\u00e7\u00e3o das cadeias de infec\u00e7\u00e3o em ambientes corporativos ganhou mais um cap\u00edtulo relevante com a identifica\u00e7\u00e3o da campanha apelidada de Serpentine#Cloud. Nela, atores maliciosos aproveitam o servi\u00e7o de t\u00faneis da Cloudflare \u2014 originalmente criado para facilitar a exposi\u00e7\u00e3o segura de recursos internos \u00e0 Internet \u2014 para distribuir carregadores em Python e executar-em mem\u00f3ria payloads do tipo arquivo PE, escondendo-se sob camadas de script, arquivos de atalho e infraestruturas aparentemente leg\u00edtimas.<\/p>\n<p style=\"text-align: justify;\" data-start=\"0\" data-end=\"893\">Essa tend\u00eancia ilustra duas vertentes preocupantes no cen\u00e1rio de amea\u00e7as: por um lado, a utiliza\u00e7\u00e3o de infraestrutura leg\u00edtima como disfarce; por outro, a ado\u00e7\u00e3o de processos de infec\u00e7\u00e3o que reduzem rastros em disco e dificultam a detec\u00e7\u00e3o por solu\u00e7\u00f5es tradicionais.<\/p>\n<p data-start=\"0\" data-end=\"893\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"895\" data-end=\"1513\"><strong data-start=\"895\" data-end=\"942\">Descri\u00e7\u00e3o da campanha e t\u00e9cnica de infec\u00e7\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"895\" data-end=\"1513\">A sequ\u00eancia da campanha come\u00e7a com um e-mail de phishing que, comumente, aborda temas de pagamento, faturas ou remessas \u2014 assuntos de alto engajamento para ambientes corporativos. O anexo ou link leva a um arquivo ZIP contendo, por exemplo, um atalho Windows (.LNK) disfar\u00e7ado como documento PDF ou outro arquivo confi\u00e1vel. Essa mudan\u00e7a de artif\u00edcio (de .URL para .LNK) revela a evolu\u00e7\u00e3o do modus operandi.<\/p>\n<p style=\"text-align: justify;\" data-start=\"895\" data-end=\"1513\">Ao acionar o atalho, inicia-se uma cadeia de etapas de infec\u00e7\u00e3o que pode incluir:<\/p>\n<ul style=\"text-align: justify;\" data-start=\"1514\" data-end=\"2414\">\n<li data-start=\"1514\" data-end=\"1711\">\n<p data-start=\"1516\" data-end=\"1711\">Execu\u00e7\u00e3o do atalho que aciona via robocopy ou outro utilit\u00e1rio leg\u00edtimo o download de um arquivo WSF hospedado por meio de um t\u00fanel Cloudflare (via WebDAV)<\/p>\n<\/li>\n<li data-start=\"1712\" data-end=\"1920\">\n<p data-start=\"1714\" data-end=\"1920\">O WSF invoca um batch (.BAT) ou CMD ofuscado que, por sua vez, baixa componentes em Python e componentes empacotados usando o utilit\u00e1rio Donut para inje\u00e7\u00e3o em mem\u00f3ria<\/p>\n<\/li>\n<li data-start=\"1921\" data-end=\"2414\">\n<p data-start=\"1923\" data-end=\"2414\">A inje\u00e7\u00e3o de shellcode \u201cEarly Bird APC\u201d dentro de um novo processo Windows contorna a grava\u00e7\u00e3o de arquivos no disco, culminando com a carga de RATs (Remote Access Trojans) como AsyncRAT ou RevengeRAT<\/p>\n<\/li>\n<li data-start=\"1921\" data-end=\"2414\">\n<p data-start=\"1923\" data-end=\"2414\">Esse conjunto de t\u00e9cnicas tem por objetivo reduzir detec\u00e7\u00e3o, evitar bloqueios baseados em IP ou dom\u00ednios conhecidos e aproveitar a reputa\u00e7\u00e3o da infraestrutura Cloudflare para \u201cmisturar-se\u201d no tr\u00e1fego leg\u00edtimo.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"2416\" data-end=\"2530\"><strong data-start=\"2416\" data-end=\"2469\">Por que a infraestrutura da Cloudflare \u00e9 abusada?<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"2416\" data-end=\"2530\">H\u00e1 v\u00e1rias raz\u00f5es que explicam o apelo para os atacantes:<\/p>\n<ul style=\"text-align: justify;\" data-start=\"2531\" data-end=\"3555\">\n<li data-start=\"2531\" data-end=\"2788\">\n<p data-start=\"2533\" data-end=\"2788\">Os t\u00faneis fornecem um canal criptografado (HTTPS) e muitas vezes j\u00e1 confi\u00e1vel para a organiza\u00e7\u00e3o-alvo, o que dificulta a visibilidade ou bloqueio por controles de rede tradicionais ou listas est\u00e1ticas de bloqueio.<\/p>\n<\/li>\n<li data-start=\"2789\" data-end=\"3050\">\n<p data-start=\"2791\" data-end=\"3050\">O servi\u00e7o de t\u00fanel permite a exposi\u00e7\u00e3o de recursos internos ou compartilhamentos sem a necessidade de registrar dom\u00ednios ou configurar servidores VPS acess\u00edveis externamente \u2014 reduzindo custo e esfor\u00e7o para o invasor.<\/p>\n<\/li>\n<li data-start=\"3051\" data-end=\"3555\">\n<p data-start=\"3053\" data-end=\"3555\">A natureza ef\u00eamera dos t\u00faneis \u2014 com subdom\u00ednios gerados dinamicamente (por exemplo, *.trycloudflare[.]com) \u2014 torna a aplica\u00e7\u00e3o de regras de bloqueio mais complexa, pois o dom\u00ednio usado pode ser rapidamente descartado ou alterado.<\/p>\n<\/li>\n<li data-start=\"3051\" data-end=\"3555\">Esses fatores combinados aumentam o risco para organiza\u00e7\u00f5es que n\u00e3o t\u00eam mecanismos de visibilidade, registro e an\u00e1lise de tr\u00e1fego de t\u00fanel ou que dependem exclusivamente de listas de bloqueio baseadas em reputa\u00e7\u00e3o de IP\/dom\u00ednio.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"3557\" data-end=\"3787\"><strong data-start=\"3557\" data-end=\"3599\">Implica\u00e7\u00f5es para defesa e visibilidade]<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"3557\" data-end=\"3787\">A campanha Serpentine#Cloud e outras similares imp\u00f5em uma revis\u00e3o dos controles de seguran\u00e7a, especialmente no \u00e2mbito de segmenta\u00e7\u00e3o, visibilidade e resposta. Algumas implica\u00e7\u00f5es s\u00e3o:<\/p>\n<ul style=\"text-align: justify;\" data-start=\"3788\" data-end=\"5378\">\n<li data-start=\"3788\" data-end=\"4056\">\n<p data-start=\"3790\" data-end=\"4056\">A necessidade de monitorar com rigor o uso de clientes de t\u00fanel ou software de \u201ct\u00fanel reverso\u201d, especialmente em hosts finais (endpoints) ou servidores que, em regra, n\u00e3o deveriam estabelecer t\u00faneis externos n\u00e3o autorizados.<\/p>\n<\/li>\n<li data-start=\"4057\" data-end=\"4383\">\n<p data-start=\"4059\" data-end=\"4383\">A exig\u00eancia de inspe\u00e7\u00e3o de tr\u00e1fego TLS\/HTTPS ou an\u00e1lise de comportamento (em vez de confiar apenas em bloqueio de dom\u00ednios) para distinguir conex\u00f5es \u201cnormais\u201d de t\u00faneis maliciosos. Como os t\u00faneis passam por infraestrutura leg\u00edtima, h\u00e1 necessidade de detec\u00e7\u00e3o por padr\u00e3o ou anomalia.<\/p>\n<\/li>\n<li data-start=\"4384\" data-end=\"4705\">\n<p data-start=\"4386\" data-end=\"4705\">A import\u00e2ncia de pol\u00edticas de controle r\u00edgidas sobre macros, scripts, atalho (LNK\/VBS) e arquivos compactados (.ZIP) anexados em e-mails ou via redes internas, bem como o refor\u00e7o da visibilidade de extens\u00f5es de arquivo e alertas para execu\u00e7\u00e3o a partir de localiza\u00e7\u00f5es incomuns.<\/p>\n<\/li>\n<li data-start=\"4706\" data-end=\"5378\">\n<p data-start=\"4708\" data-end=\"5378\">A ado\u00e7\u00e3o de segmenta\u00e7\u00e3o de rede, controle de execu\u00e7\u00e3o (execu\u00e7\u00e3o restrita de scripts e Python em hosts sem necessidade funcional), e a considera\u00e7\u00e3o de que ambientes que permitem execu\u00e7\u00e3o din\u00e2mica de c\u00f3digo (por exemplo, Python) elevam o risco se n\u00e3o forem gerenciados.<\/p>\n<\/li>\n<li data-start=\"4706\" data-end=\"5378\">\n<p data-start=\"4708\" data-end=\"5378\">Al\u00e9m disso, o fato de o ataque incluir uma cadeia multi-est\u00e1gio aumenta a janela de oportunidade para interven\u00e7\u00e3o: desde o momento em que o usu\u00e1rio clica no atalho, at\u00e9 o momento em que o shellcode \u00e9 injetado, h\u00e1 maneiras de detectar atividades suspeitas \u2014 por exemplo, cria\u00e7\u00e3o de processos n\u00e3o usuais, execu\u00e7\u00e3o de robocopy ou download de scripts via WebDAV.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"5380\" data-end=\"5534\"><strong data-start=\"5380\" data-end=\"5428\">Boas pr\u00e1ticas e recomenda\u00e7\u00f5es para mitiga\u00e7\u00e3o]<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"5380\" data-end=\"5534\">Para organiza\u00e7\u00f5es que desejam se proteger frente a esse tipo de amea\u00e7a, recomendo as seguintes a\u00e7\u00f5es:<\/p>\n<ul style=\"text-align: justify;\" data-start=\"5535\" data-end=\"7194\">\n<li data-start=\"5535\" data-end=\"5767\">\n<p data-start=\"5537\" data-end=\"5767\">Estabelecer pol\u00edticas que limitem ou bloqueiem a cria\u00e7\u00e3o de t\u00faneis n\u00e3o autorizados (por exemplo, clientes como Cloudflare Tunnel, OpenVPN, ngrok e similares) e monitorar de forma proativa a inscri\u00e7\u00e3o desses servi\u00e7os no ambiente.<\/p>\n<\/li>\n<li data-start=\"5768\" data-end=\"6004\">\n<p data-start=\"5770\" data-end=\"6004\">Implementar filtragem de anexos de e-mail: bloquear ou colocar em sandbox arquivos .ZIP contendo .LNK, .URL, .BAT, .WSF ou .VBS, ou exigir inspe\u00e7\u00e3o antes da entrega, especialmente quando o contexto for cobran\u00e7a, pagamento ou fatura.<\/p>\n<\/li>\n<li data-start=\"6005\" data-end=\"6223\">\n<p data-start=\"6007\" data-end=\"6223\">Habilitar visibilidade de extens\u00e3o de arquivos, alertas para dupla extens\u00e3o ou disfarces de atalho (por exemplo, PDF \u21e8 .LNK) e restringir a execu\u00e7\u00e3o autom\u00e1tica de arquivos de atalho vindos de e-mail ou da internet.<\/p>\n<\/li>\n<li data-start=\"6224\" data-end=\"6408\">\n<p data-start=\"6226\" data-end=\"6408\">Monitorar execu\u00e7\u00e3o de scripts ou int\u00e9rpretes (como Python) em endpoints onde seu uso n\u00e3o \u00e9 justificado, e aplicar controle de aplica\u00e7\u00f5es (application whitelisting) quando poss\u00edvel.<\/p>\n<\/li>\n<li data-start=\"6409\" data-end=\"6652\">\n<p data-start=\"6411\" data-end=\"6652\">Ampliar a visibilidade de rede: registrar DNS, conex\u00f5es de sa\u00edda, resolver monitoramento de novos subdom\u00ednios, e estabelecer alertas para padr\u00f5es at\u00edpicos (por exemplo, numerosos t\u00faneis criados ou tr\u00e1fego de t\u00fanel vindo de hosts internos).<\/p>\n<\/li>\n<li data-start=\"6653\" data-end=\"6959\">\n<p data-start=\"6655\" data-end=\"6959\">Treinar usu\u00e1rios para reconhecerem phishing que usem temas como \u201cfatura pendente\u201d, \u201cdocumento para pagamento\u201d, \u201cremessa urgente\u201d, bem como refor\u00e7ar a pol\u00edtica de n\u00e3o clicar em links ou baixar arquivos sem verifica\u00e7\u00e3o, sobretudo se solicitados a habilitar macros, descompactar arquivos ou executar algo.<\/p>\n<\/li>\n<li data-start=\"6960\" data-end=\"7194\">\n<p data-start=\"6962\" data-end=\"7194\">Preparar planos de resposta que considerem infec\u00e7\u00f5es em mem\u00f3ria (fileless), inje\u00e7\u00e3o de processos e persist\u00eancia oculta \u2014 ou seja, n\u00e3o depender apenas de antiv\u00edrus tradicional, mas de dete\u00e7\u00e3o comportamental e resposta a incidentes.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"7196\" data-end=\"8396\"><strong data-start=\"7196\" data-end=\"7209\">Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"7196\" data-end=\"8396\">A campanha Serpentine#Cloud evidencia que o campo de batalha da ciberseguran\u00e7a migra cada vez mais para \u201cinfraestrutura legitima explorada\u201d e \u201cexecu\u00e7\u00e3o em mem\u00f3ria\u201d. A utiliza\u00e7\u00e3o de t\u00faneis leg\u00edtimos da Cloudflare como meio de entrega de malware, combinada com cad\u00eancias de infec\u00e7\u00e3o em m\u00faltiplos est\u00e1gios, desafia as abordagens tradicionais de bloqueio por reputa\u00e7\u00e3o ou assinatura. Para ambientes corporativos, isso refor\u00e7a dois axiomas: primeiro, que a defesa n\u00e3o pode se basear somente em impedir dom\u00ednios ou IPs, mas em visibilidade, an\u00e1lise de comportamento e controle de execu\u00e7\u00e3o; segundo, que a conscientiza\u00e7\u00e3o do usu\u00e1rio, pol\u00edticas r\u00edgidas de execu\u00e7\u00e3o de scripts\/atalhos e a limpeza do ambiente (menos softwares instalados, menos permiss\u00f5es elevadas) continuam sendo pe\u00e7as centrais da estrat\u00e9gia de mitiga\u00e7\u00e3o. Em um cen\u00e1rio onde at\u00e9 mesmo servi\u00e7os em nuvem ou &#8220;ferramentas produtivas&#8221; podem ser subvertidos, a abordagem deve ser hol\u00edstica: monitorar, controlar, educar e responder de forma \u00e1gil. Somente assim as organiza\u00e7\u00f5es poder\u00e3o limitar o risco imposto por campanhas como esta, que combinam engenhosidade de engenharia social, infraestrutura terceirizada e evas\u00e3o t\u00e9cnica.<\/p>\n<p data-start=\"7196\" data-end=\"8396\">\u00a0<\/p>\n<p data-start=\"8398\" data-end=\"8879\"><strong data-start=\"8398\" data-end=\"8428\">Refer\u00eancias bibliogr\u00e1ficas<\/strong><\/p>\n<p data-start=\"8398\" data-end=\"8879\"><strong>Arghire, Ionut.<\/strong> <em data-start=\"8447\" data-end=\"8499\">Cloudflare Tunnels Abused in New Malware Campaign.<\/em> SecurityWeek, 2025. Dispon\u00edvel em: <a class=\"decorated-link\" href=\"https:\/\/www.securityweek.com\/cloudflare-tunnels-abused-in-new-malware-campaign\/?utm_source=chatgpt.com\" target=\"_blank\" rel=\"noopener\" data-start=\"8542\" data-end=\"8621\">https:\/\/www.securityweek.com\/cloudflare-tunnels-abused-in-new-malware-campaign\/<\/a><\/p>\n<p data-start=\"8398\" data-end=\"8879\"><strong>Dunn, John E.<\/strong> <em data-start=\"8638\" data-end=\"8716\">Phishing campaign abuses Cloudflare Tunnels to sneak malware past firewalls.<\/em> CSO Online, 2025. Dispon\u00edvel em: <a class=\"decorated-link\" href=\"https:\/\/www.csoonline.com\/article\/4009636\/phishing-campaign-abuses-cloudflare-tunnels-to-sneak-malware-past-firewalls.html?utm_source=chatgpt.com\" target=\"_blank\" rel=\"noopener\" data-start=\"8757\" data-end=\"8879\">https:\/\/www.csoonline.com\/article\/4009636\/phishing-campaign-abuses-cloudflare-tunnels-to-sneak-malware-past-firewalls.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Abuso de t\u00faneis da Cloudflare em nova campanha de malware A crescente sofistica\u00e7\u00e3o das cadeias de infec\u00e7\u00e3o em ambientes corporativos ganhou mais um cap\u00edtulo relevante com a identifica\u00e7\u00e3o da campanha apelidada de Serpentine#Cloud. Nela, atores maliciosos aproveitam o servi\u00e7o de t\u00faneis da Cloudflare \u2014 originalmente criado para facilitar a exposi\u00e7\u00e3o segura de recursos internos \u00e0 [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":23527,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-23524","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23524","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=23524"}],"version-history":[{"count":3,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23524\/revisions"}],"predecessor-version":[{"id":23529,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23524\/revisions\/23529"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/23527"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=23524"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=23524"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=23524"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}