Cloudflare Workers,让开发人员能以采用新的方式在Cloudflare全球网络的边缘直接部署和执行代码,而无需担心基础设施维护,深受开发人员喜爱。
然而,近日一个新的恶意攻击活动通过滥用Cloudflare Workers无服务器计算平台来扩散Astaroth木马变种,来绕过杀毒软件检测并阻止其自动分析。
Cloudflare Worker是Astaroth 木马三阶段感染过程的一部分。首先,该木马先发送一封带有HTML附件的钓鱼电子邮件,其中包含模糊的JavaScript代码,并链接到位于Cloudflare基础架构后面的域。此域根据目标的位置以JSON格式提供多种类型的有效负载,以允许攻击者快速更改针对各种目标的恶意文件,并避免杀毒软件阻止。第二阶段:Cloudflare Workers负载有效负载
从URL解析JSON到Base64转换为Array缓冲区即可生成第二阶段的攻击。JSON将被写入浏览器的blob存储,重命名为匹配的HTML文件的名称,并创建一个链接并自动点击下载到用户的浏览器。此时保存的有效负载是一个ZIP文件,而目标文件则重定向到一个包含Cloudflare Workers dashboard脚本编辑器创建的脚本内容的URL。这里最重要的是,用于加载脚本预览面板的URL可以使用随机值进行更改,这可能会生成无限数量的主机名,从而执行特定代码,导致传统的Anti-bot无法捕获。接下来,脚本将从Cloudflare Workers仪表板脚本编辑器预览URL保存在受害者的计算机上,该URL使用Windows脚本宿主(Wscript)进程执行,并下载,从而作为感染过程第三阶段的一部分,释放最终有效负载。
Astaroth有效载荷将使用十个随机且唯一的Cloudflare Worker节点链接下载,每个链接都有9亿个可能的URL变体。第三阶段使用DLL侧载来中断合法进程并加载恶意DLL,该DLL与攻击者控制的YouTube和Facebook配置文件通信,以获得服务器的最终命令和控制。从这个新的Astaroth变种感染的三个阶段,可以看出,其使用Cloudflare Workers来:早在2018年,这种名为Astaroth的木马就被发现是专门用来针对巴西进行恶意攻击行动的一部分,大约8,000台机器可能在一周的攻击中受到攻击。Astaroth的危害很大,能够借助密钥记录器模块,通过操作系统调用截取和使用剪贴板监控来窃取敏感信息,例如用户凭证。Multi-stage infection process (Microsoft)
此外,Astaroth也因滥用现成的二进制文件(LOLbins)而闻名,例如Windows管理仪表控制台(WMIC)的命令界面,以便在受感染的计算机上秘密下载和安装恶意的有效负载。在今年2月份活动中,发现一个新的Astaroth变种,在Avast杀毒软件的aswrundll.exe Avast运行时的动态链接库中注入恶意模块,这个模块后来被用来获取受感染设备的信息,并加载额外的模块。微软后卫ATP研究小组还分析了5月和6月期间活跃的Astaroth活动,并发现它使用了一个多阶段的感染过程来暗中感染目标系统。*本文由看雪编辑 LYA 编译自 Bleeping Computer,转载请注明来源及作者。