木馬程式AsyncRAT濫用TryCloudflare服務散布

駭客濫用TryCloudflare服務散布惡意程式的情況，去年8至9月曾出現相關事故，如今類似的攻擊行動再度傳出。

TryCloudflare是資安業者Cloudflare提供的臨時隧道（Tunnel）服務，開發者無需設置DNS或是調整防火牆組態，就能藉此快速將應用程式或網站於網際網路公開，避免有人直接對伺服器上下其手。然而，這種服務也遭到駭客利用，將其用於埋藏攻擊來源。

例如，資安業者Forcepoint揭露AsyncRAT最新一波攻擊行動，就是典型的例子。攻擊者利用TryCloudflare隧道與Python套件來散布惡意酬載，他們先是透過釣魚郵件與受害者接觸，一旦收信人點選信裡的連結，就會觸發一系列的攻擊流程，從而在電腦植入AsyncRAT等多種惡意程式。

針對這起事故發生的過程，Forcepoint X-Labs威脅研究員Jyotika Singh指出，攻擊是透過釣魚郵件開始，而這些信件的共通點，就是含有連往Dropbox的連結，一旦收信人點選，電腦就會下載ZIP壓縮檔，其內容是網際網路捷徑檔（URL），假若開啟，電腦就會下載Windows捷徑檔（LNK），從而執行JavaScript檔案。

而這個JavaScript指令碼，又會觸發BAT批次檔，然後下載另一個含有惡意內容的ZIP檔，該壓縮檔內含Python指令碼，會在受害電腦植入AsyncRAT。

但究竟駭客如何利用TryCloudflare？具體而言，他們透過TryCloudflare隧道存放過程裡會使用的作案工具。Jyotika Singh指出，他們分析URL檔案的內容，發現攻擊者指向的LNK網址裡，該LNK檔就存放於TryCloudflare；而LNK檔的路徑當中，則是呼叫PowerShell從相同的TryCloudflare隧道下載JavaScript檔案。此JavaScript檔經過混淆處理，同樣是從前述的TryCloudflare隧道存取BAT檔，而這個BAT批次檔也經過混淆處理，用途是呼叫PowerShell下載、部署Python套件及AsyncRAT，過程裡還會開啟假的發票PDF檔案，目的是分散受害者的注意。