Trojan Astaroth wykorzystuje Cloudflare Workers do obejścia oprogramowania AV

[Grandalf]

Nowa złośliwa kampania aktywnie rozpowszechnia nowy wariant trojana Astaroth, nadużywającego bezserwerowej platformy obliczeniowej Cloudflare Workers, aby uniknąć wykrycia i zablokować próby automatycznej analizy.

Cloudflare Workers to skrypty działające na serwerach Cloudflare z „centrów danych w 193 miastach w 90 krajach” i pozwalają na wykonanie dowolnego kodu JavaScript bez konieczności martwienia się o utrzymanie infrastruktury.

„Workers mają bezpłatny plan, który każdy lub cokolwiek może zarejestrować i otrzymywać 100 000 żądań dziennie. Możesz utworzyć nieograniczoną liczbę workers na konto”, jak stwierdził badacz szkodliwego oprogramowania Check Point, Marcel Afrahim, który odkrył ten wariant Astaroth.

Cloudflare Workers są wykorzystywani przez operatorów Astaroth w ramach trzystopniowego procesu infekcji, poczynając od wiadomości e-mail typu phishing, która zawiera załącznik HTML zawierający zaciemniony kod JavaScript i link do domeny znajdującej się za infrastrukturą Cloudflare.

Cały artykuł:

Zaloguj lub Zarejestruj się aby zobaczyć!