Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Преступники использовали платформу Cloudflare Workers для обхода антивирусов

04/09/19

flare workers

В рамках недавней вредоносной кампании преступники распространяли новый вариант вредоносного ПО Astaroth. Для избежания обнаружения антивирусным ПО злоумышленники воспользовались платформой Cloudflare Workers.

Cloudflare Workers является набором скриптов, запущенных на серверах Cloudflare. Они расположены в дата-центрах 90 стран и 193 городов. Платформа позволяет запустить любой код JavaScript без необходимости поддерживать инфраструктуру.

Cloudflare Workers в ходе вредоносной кампании преступников играет роль одной из частей атаки. Злоумышленники отправляют фишинговое письмо, замаскированное под обычный опрос, с прикрепленным вложением в формате HTML. Вложение содержит обфусцированный код JavaScript, связанный с доменом в инфраструктуре Cloudflare. Данный домен используется для доставки вредоносной нагрузки нескольких видов в формате JSON. Для избежания блокировки преступники могут быстро менять вредоносные файлы.

Для реализации второй ступени атаки JSON парсится из URL, конвертируется из Base64 в Array, переименовывается для соответствия имени HTML-файла. Далее формируется специальная ссылка автоматического перехода, которая запускает загрузку вредоноса на компьютер пользователя.

В рамках третьего этапа используется загрузка вредоносной DLL-библиотеки, которая управляется аккаунтами злоумышленников в сервисах YouTube и Facebook. Аккаунты в данном случае играют роль C&C-сервера.

Темы:ПреступленияфишингAstarothCloudflare
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...