網絡安全公司eSentire 和 Proofpoint 發現，濫用 Clouflare 的 TryCloudflare 免費服務進行惡意軟件傳播的情況有所增加，涉及多個惡意軟件系列。

該攻擊方式需要使用 TryCloudflare 創建一個速率限制隧道，該隧道充當管道，通過 Cloudflare 的基礎設施將流量從攻擊者控制的服務器中繼到本地機器。

據觀察，利用這種技術的攻擊鏈可傳播一系列惡意軟件，如 AsyncRAT、GuLoader、PureLogs Stealer、Remcos RAT、Venom RAT 和 XWorm。

攻擊的最初載體是一封包含 ZIP 壓縮文件的網絡釣魚電子郵件，該壓縮文件包含一個 URL 快捷方式文件，可將收件人引向一個的WebDAV 服務器上的 Windows 快捷方式文件，該服務器由 TryCloudflare 托管代理。快捷方式文件會執行下一階段的批處理腳本，這些腳本負責檢索和執行額外的 Python 有效載荷，同時顯示托管在同一 WebDAV 服務器上的誘餌 PDF 文檔。

eSentire 指出，這些腳本執行的操作包括啟動誘餌 PDF、下載額外的惡意有效載荷以及更改文件屬性以避免被檢測。

據 Proofpoint 稱，這些網絡釣魚郵件以英語、法語、西班牙語和德語編寫，電子郵件數量從數百到數萬不等，目標是世界各地的組織機構。 這些郵件主題涵蓋了發票、文件請求、包裹遞送和稅收等。 雖然該活動被歸因于一個相關活動集群，但并未與特定的攻擊者或團體聯系起來。據電子郵件安全廠商評估，該活動是出于經濟動機。

去年，Sysdig首次記錄了利用TryCloudflare進行惡意攻擊的情況，一個被稱為LABRAT的加密劫持和代理劫持活動通過GitLab中一個現已打補丁的關鍵漏洞，利用Cloudflare隧道滲透目標并掩蓋其命令與控制（C2）服務器。此外，由于使用WebDAV和服務器消息塊（SMB）進行有效載荷的部署，企業必須將外部文件共享服務的訪問權限限制在已知的、允許列表的服務器上。“使用Cloudflare隧道為攻擊者提供了一種使用臨時基礎設施來擴展其攻擊的方法，并為及時構建和關閉攻擊提供了靈活性，”Proofpoint研究人員Joe Wise和Selena Larson表示。

臨時 Cloudflare 實例允許攻擊者以一種低成本的方法使用輔助腳本進行攻擊，同時限制了檢測和刪除工作的風險。因為攻擊者利用其服務來掩蓋惡意行為并通過所謂的“依賴信任的服務”（LoTS） 來增強其運營安全性，Spamhaus 項目呼吁 Cloudflare 審查其反濫用政策。