Hack Alerta

Campanha AsyncRAT oculta por Cloudflare free‑tier e TryCloudflare

Por Redação Hack Alerta Publicado em 13/01/2026 05:02 Riscos e Ameaças Tempo de leitura: 3 min

Campanha que entrega AsyncRAT usa Cloudflare free tier e túneis TryCloudflare para ocultar WebDAV e scripts, baixando Python embed e persistindo via Startup; Trend Micro documentou a cadeia técnica.

Introdução

Uma campanha que distribui AsyncRAT está usando serviços gratuitos de Cloudflare e túneis TryCloudflare para camuflar comunicações maliciosas dentro de tráfego legítimo, segundo análise da Trend Micro. A técnica complica detecção baseada apenas em reputação de domínio.

Fluxo de ataque

A campanha começa com phishing por e‑mail que aponta para um arquivo ZIP hospedado no Dropbox, nomeado como fatura em alemão. O ZIP contém um atalho com dupla extensão (por exemplo, Rechnung-zu-Auftrag-XXXX.pdf.url) que inicia a cadeia de infecção.

Vector técnico e persistência

  • O atalho conecta a um recurso WebDAV hospedado em domínios TryCloudflare, onde está um conjunto de scripts e arquivos em várias etapas.
  • Scripts inicializam o download do Python embutido oficial (ex.: python-3.14.0-embed-amd64.zip) e montam um ambiente local — normalmente em %AppData%/Local/z1man — para executar o loader.
  • Arquivos de lote são colocados na pasta Startup (ahke.bat, olsm.bat) para garantir persistência ao reiniciar.
  • O payload final, AsyncRAT, usa injeção de código (APC polymórfico) em explorer.exe por meio de um loader Python (ne.py), com shellcode criptografado em new.bin e chaves em a.txt.

Por que o abuso de Cloudflare dificulta a mitigação

Os operadores aproveitam redes e infraestruturas de confiança — Cloudflare free tier e domínios TryCloudflare — e downloads oficiais (python.org) para misturar tráfego malicioso com operações legítimas. Isso reduz a efetividade de bloqueios por reputação e exige que detecções considerem o comportamento e a telemetria em endpoints.

Observações da investigação

A Trend Micro ligou múltiplos domínios TryCloudflare ao mesmo backend e ao mesmo conjunto de arquivos, sugerindo um toolkit reutilizável para campanhas distintas. A cadeia demonstrada inclui etapas claras de fetch/extract/executar e culmina em controle remoto completo via AsyncRAT (keylogging, captura de tela, execução de comandos).

Mitigações e recomendações

  • Bloquear ou monitorar conexões WebDAV para domínios TryCloudflare suspeitos e aplicar inspeção de tráfego/SSL quando possível.
  • Implementar filtragem e sandboxing de anexos e links em e‑mail; tratar arquivos .url e atalhos como potencialmente perigosos.
  • Restringir execução automática de scripts via políticas de grupo e desabilitar Windows Script Host quando não necessário.
  • Monitorar presença de python embed extraído em perfis de usuário e a criação de arquivos em pastas Startup.
  • Usar EDR com detecção de injeção de processo e comportamentos de pós‑exploração (APC, criação de serviços, persistência em Startup).

O que não foi divulgado

Os relatórios técnicos descrevem o toolkit e a infraestrutura observada, mas não há, nos dados públicos, uma lista completa de vítimas ou estimativa de alcance por setor/país. Também não foi apresentada evidência pública de uso de exploits zero‑day neste fluxo — o ataque depende principalmente de engenharia social e de abusos de infraestrutura.

Referência

Análise e telemetria citadas por pesquisadores da Trend Micro via MDR.
Baseado em publicação original de Cyber Security News
Tags: #asyncrat #cloudflare #trycloudflare #webdav #phishing #python-embed #persistencia #edr #trendmicro
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar