Een nieuwe campagne maakt gebruik van cloudflare -tunnelsubdomeinen om kwaadaardige payloads te hosten en ze te leveren via kwaadaardige bijlagen ingebed in phishing -e -mails.
De lopende campagne is codenaam Serpentine#cloud door Securonix.
Het maakt gebruik van “de CloudFlare-tunnelinfrastructuur en op Python gebaseerde laders om geheugen-geïnjecteerde payloads te leveren via een keten van snelkoppelingsbestanden en verdoezelde scripts”, zei beveiligingsonderzoeker Tim Peck in een rapport gedeeld met The Hacker News.
De aanval begint met het verzenden van phishing-e-mails met een betaling of factuurthema met een link naar een ritssluitingsdocument dat een Windows Sortcut (LNK) -bestand bevat. Deze snelkoppelingen zijn vermomd als documenten om slachtoffers te misleiden om ze te openen, waardoor de infectiescène effectief wordt geactiveerd.
Het uitgebreide multi-stappenproces culmineert in de uitvoering van een op Python gebaseerde shellcode-lader die payloads uitvoert, verpakt met de open-source donutlader volledig in het geheugen.
Securonix zei dat de campagne zich op de Verenigde Staten, het Verenigd Koninkrijk, Duitsland en andere regio’s in Europa en Azië heeft gericht. De identiteit van de dreigingsacteur (s) achter de campagne is momenteel onbekend, hoewel het cybersecuritybedrijf op hun Engelse vloeiendheid wees.
Het dreigingsactiviteitcluster is ook opmerkelijk vanwege de verschuivende initiële toegangsmethoden, die van internet -sneltoets (URL) bestanden naar het gebruik van LNK -snelkoppelingsbestanden die zich bevinden als PDF -documenten. Deze payloads worden vervolgens gebruikt om extra fasen via WebDAV op te halen via de CloudFlare -tunnelsubdomeinen.
Het is vermeldenswaard dat een variatie van deze campagne vorig jaar eerder werd gedocumenteerd door Esentire en Proofpoint, waarbij de aanvallen de weg vrijmaken voor asyncrat, gulolower, Purelogs Stealer, Remcos Rat, Venom Rat en Xworm.
Het misbruik van TryCloudFlare biedt veelvoudige voordelen. Om te beginnen hebben kwaadaardige acteurs het al lang moeilijker gemaakt om te detecteren door legitieme cloudserviceproviders te gebruiken als front voor hun activiteiten, inclusief payload levering en command-and-control (C2) communicatie.
Door een gerenommeerd subdomein (“*.trycloudflare (.) Com”) te gebruiken voor snode uiteinden, maakt het het buitengewoon moeilijk voor verdedigers om onderscheid te maken tussen schadelijke en goedaardige activiteiten, waardoor het URL of domein-gebaseerde blokkeermechanismen kan ontwijken.
De eerste infectie treedt op wanneer de LNK-bestanden worden gestart, waardoor deze een payload van de volgende fase, een Windows-scriptbestand (WSF), wordt gedownload van een externe WebDAV-aandeel gehost op een CloudFlare-tunnelsubdomein. Het WSF -bestand wordt vervolgens op een manier uitgevoerd met behulp van cscript.exe zonder het vermoeden van het slachtoffer op te wekken.
“Dit WSF-bestand functioneert als een lichtgewicht VBScript-gebaseerde lader, ontworpen om een extern batchbestand uit een tweede CloudFlare-domein uit te voeren,” zei Peck. “Het bestand ‘kiki.bat’ dient als het belangrijkste laadverzorgingsscript in de reeks stagers. Over het algemeen is het ontworpen voor stealth en persistentie.”
De primaire verantwoordelijkheid van het batchscript is om een Decoy PDF-document weer te geven, te controleren op antivirussoftware en Python-payloads te downloaden en uit te voeren, die vervolgens worden gebruikt om payloads met donut-pack-lading zoals Asyncrat of Revenge Rat in Memory te uitvoeren.
Securonix zei dat er een mogelijkheid is dat het script mogelijk is gevoed met een groot taalmodel vanwege de aanwezigheid van goed gedefinieerde opmerkingen in de broncode.
“De Serpentine#Cloud-campagne is een complexe en gelaagde infectieketen die een beetje social engineering, living-off-the-lland technieken en ontwijkende uitvoering van het geheugen code combineert,” concludeerde het bedrijf. “Het misbruik van cloudflare -tunnelinfrastructuur compliceert de zichtbaarheid van het netwerk verder door de acteur een wegwerp- en gecodeerde transportlaag te geven voor het organiseren van kwaadaardige bestanden zonder traditionele infrastructuur te onderhouden.”
Shadow Vector richt zich op Colombiaanse gebruikers via SVG -smokkel
De openbaarmaking komt als Acronis een actieve malware -campagne identificeerde genaamd Schaduwvector Het richten van gebruikers in Colombia met behulp van booby-ingepakte schaalbare Vector Graphics (SVG) -bestanden als de malware-leveringsvector in phishing-e-mails die zich voordoen als meldingen van de rechtbank.
“Aanvallers verspreidden speer-phishing-e-mails die zich voordoen als vertrouwde instellingen in Colombia, die SVG-decoys leveren met ingebedde links naar JS / VBS-stagers gehost op openbare platforms, of wachtwoord-geproted zip-bestanden die de payloads bevatten,” zei Acronis Santiago Pontiroli, Jozsef Gegeny, en Ilias ILILIA DAFCHEV zeiden.
De aanvallen hebben geleid tot de inzet van Trojaanse paarden op afstand zoals Asyncrat en Remcos Rat, waarbij recente campagnes ook gebruikten van een .NET -lader geassocieerd met Katz Stealer. Deze aanvalsketens omvatten het verbergen van de payloads binnen basis van de basis van de tekst van afbeeldingsbestanden die op het internetarchief worden gehost.
Een opmerkelijk aspect van de campagne is het gebruik van SVG -smokkeltechnieken om kwaadaardige zip -archieven te leveren met behulp van SVG -bestanden. Deze payloads worden gehost op diensten voor het delen van bestanden zoals Bitbucket, Dropbox, Discord en YDray. De downloadarchieven bevatten zowel legitieme uitvoerbare bestanden als kwaadwillende DLL’s, waarvan de laatste is aan de kant om uiteindelijk de Trojaanse paarden te dienen.
“Een natuurlijke evolutie van zijn eerdere SVG-smokkeltechnieken, deze dreigingsacteur heeft een modulaire, geheugen-ingezeten lader overgenomen die dynamisch en volledig in het geheugen kan worden uitgevoerd, waardoor minimale sporen achterblijven,” zeiden de onderzoekers.
“De aanwezigheid van Portugese-taalreeksen en methodeparameters in de lader weerspiegelt TTP’s die gewoonlijk worden waargenomen in Braziliaanse bankmalware, wat duidt op potentiële code hergebruik, gedeelde ontwikkelingsbronnen of zelfs cross-regionale samenwerking tussen actoren.”
Clickfix Surge stuwt drive-by compromissen
De bevindingen vallen ook samen met een toename van sociale engineeringaanvallen die de ClickFix -tactiek gebruiken om stealers en externe toegang te implementeren, zoals Lumma Stealer en Sectoprat onder het mom van het oplossen van een probleem of het voltooien van een captcha -verificatie.
Volgens de statistieken gedeeld door Reliaquest waren drive-by compromissen goed voor 23% van alle op phishing gebaseerde tactieken die werden waargenomen tussen maart en mei 2025. “Technieken zoals ClickFix stonden centraal in drive-by downloads,” zei het cybersecuritybedrijf.
ClickFix is vooral effectief omdat het doelen bedriegt om schijnbaar onschadelijke, dagelijkse acties uit te voeren die waarschijnlijk geen rode vlaggen opwekken, omdat ze zo gewend zijn om Captcha -screeningpagina’s en andere meldingen te zien. Wat het dwingend maakt, is dat gebruikers het belangrijkste werk doen om hun eigen machines te infecteren in plaats van hun toevlucht te nemen tot meer geavanceerde methoden zoals het exploiteren van softwarefouten.
“Externe externe bronnen daalden van de derde naar de vierde plaats, omdat aanvallers steeds meer fouten uit de gebruikers gebruiken in plaats van technische kwetsbaarheden,” zei Reliaquest. “Deze verschuiving wordt waarschijnlijk aangedreven door de eenvoud, succespercentage en universele toepasbaarheid van sociale engineeringcampagnes zoals ClickFix.”
