骇客滥用TryCloudflare服务散布恶意程序的情况，去年8至9月曾出现相关事故，如今类似的攻击行动再度传出。

TryCloudflare是资安业者Cloudflare提供的临时隧道（Tunnel）服务，开发者无需设置DNS或是调整防火墙组态，就能藉此快速将应用程序或网站于网际网路公开，避免有人直接对服务器上下其手。然而，这种服务也遭到骇客利用，将其用于埋藏攻击来源。

例如，资安业者Forcepoint揭露AsyncRAT最新一波攻击行动，就是典型的例子。攻击者利用TryCloudflare隧道与Python套件来散布恶意酬载，他们先是透过钓鱼邮件与受害者接触，一旦收信人点选信里的连结，就会触发一系列的攻击流程，从而在电脑植入AsyncRAT等多种恶意程序。

针对这起事故发生的过程，Forcepoint X-Labs威胁研究员Jyotika Singh指出，攻击是透过钓鱼邮件开始，而这些信件的共通点，就是含有连往Dropbox的连结，一旦收信人点选，电脑就会下载ZIP压缩档，其内容是网际网路捷径档（URL），假若开启，电脑就会下载Windows捷径档（LNK），从而执行JavaScript文件。

而这个JavaScript指令码，又会触发BAT批次档，然后下载另一个含有恶意内容的ZIP档，该压缩档内含Python指令码，会在受害电脑植入AsyncRAT。

但究竟骇客如何利用TryCloudflare？具体而言，他们透过TryCloudflare隧道存放过程里会使用的作案工具。Jyotika Singh指出，他们分析URL文件的内容，发现攻击者指向的LNK网址里，该LNK档就存放于TryCloudflare；而LNK档的路径当中，则是呼叫PowerShell从相同的TryCloudflare隧道下载JavaScript文件。此JavaScript档经过混淆处理，同样是从前述的TryCloudflare隧道存取BAT档，而这个BAT批次档也经过混淆处理，用途是呼叫PowerShell下载、部署Python套件及AsyncRAT，过程里还会开启假的发票PDF文件，目的是分散受害者的注意。