Una nueva campaña está utilizando subdominios de túnel Cloudflare para introducir cargas efectos maliciosas y entregarlas a través de archivos adjuntos maliciosos integrados en correos electrónicos de phishing.
La campaña en curso ha sido nombrada en código Serpentina#cúmulo por Securonix.
Aprovecha «la infraestructura del túnel CloudFlare y los cargadores basados en Python para entregar cargas efectos inyectadas en memoria a través de una sujeción de archivos de golpe directo y scripts ofuscados», dijo el investigador de seguridad Tim Peck en un crónica compartido con Hacker News.
El ataque comienza con el remesa de correos electrónicos de phishing con temas de cuota o cargo que llevan un enlace a un documento adherido que contiene un archivo de golpe directo (LNK) de Windows. Estos atajos están disfrazados de documentos para engañar a las víctimas para que las abran, activando efectivamente la secuencia de infección.
El minucioso proceso de múltiples pasos culmina en la ejecución de un cargador de shellcode basado en Python que ejecuta cargas efectos empaquetadas con el cargador de donas de código descubierto completamente en la memoria.
Securonix dijo que la campaña ha atacado a los Estados Unidos, el Reino Unido, Alemania y otras regiones en Europa y Asia. La identidad de los actores de amenaza detrás de la campaña se desconoce actualmente, aunque la compañía de seguridad cibernética señaló su fluidez en inglés.
El clúster de actividad de amenazas todavía es sobresaliente por sus métodos de golpe iniciales cambiantes, girando desde archivos de golpe directo de Internet (URL) para usar archivos de golpe directo LNK disfrazado de documentos PDF. Estas cargas efectos se utilizan para recuperar etapas adicionales sobre WebDAV a través de los subdominios del túnel CloudFlare.
Vale la pena señalar que Esentire y Proofpoint documentan previamente una variación de esta campaña el año pasado, con los ataques allanando el camino para Asyncrat, Guloader, Purelogs Stealer, Remcos Rat, Venom Rat y Xworm.
El desmán de TryCloudflare ofrece ventajas múltiples. Para comenzar, los actores maliciosos han dificultado durante mucho tiempo el uso de proveedores de servicios de cúmulo legítimos como frente para sus operaciones, incluida la entrega de carga útil y la comunicación de comando y control (C2).
Al usar un subdominio de buena reputación («*.trycloudflare (.) Com») para fines nefastos, hace que sea extremadamente difícil para los defensores distinguir entre actividades dañinas y benignas, lo que permite eludir la URL o los mecanismos de corte basados en el dominio.
La infección auténtico ocurre cuando se inician los archivos LNK, lo que hace que descargue una carga útil de la próxima etapa, un archivo de script de Windows (WSF), desde una actividad web remota alojada en un subdominio de túnel CloudFlare. El archivo WSF se ejecuta después utilizando cscript.exe de una modo sin despertar la sospecha de la víctima.
«Este archivo WSF funciona como un cargador insignificante basado en VBScript, diseñado para ejecutar un archivo por lotes extranjero desde un segundo dominio de CloudFlare», dijo Peck. «El archivo ‘kiki.bat’ sirve como el principal script de entrega de carga útil a continuación en la serie de decisiones. En militar, está diseñado para el sigilo y la persistencia».
La responsabilidad principal del script por lotes es mostrar un documento PDF señuelo, revisar el software antivirus y descargar y ejecutar cargas efectos de Python, que luego se utilizan para ejecutar cargas efectos llenas de donas como Asyncrat o Revenge Rat en la memoria.
Securonix dijo que existe la posibilidad de que el script haya sido codificado por un maniquí de estilo ínclito adecuado a la presencia de comentarios aceptablemente definidos en el código fuente.
«La Campaña de la cúmulo de#serpentina es una sujeción de infecciones compleja y en capas que combina un poco de ingeniería social, técnicas de vida y la ejecución evasiva del código en la memoria», concluyó la compañía. «El desmán de la infraestructura del túnel de Cloudflare complica aún más la visibilidad de la red al darle al actor una capa de transporte desechable y encriptada para organizar archivos maliciosos sin ayudar la infraestructura tradicional».
Shadow Vector apunta a los usuarios colombianos a través del contrabando de SVG
La divulgación se produce cuando Acronis identificó una campaña de malware activa doblada Vector de sombra Se dirige a los usuarios en Colombia utilizando archivos de gráficos vectoriales escalables (SVG) de Trapy Booby como el vector de entrega de malware en correos electrónicos de phishing que se hacen sobrevenir por notificaciones judiciales.
«Los atacantes distribuyeron correos electrónicos de phishing de vara que se hacen sobrevenir por instituciones de confianza en Colombia, entregando señuelos de SVG con enlaces integrados a los stagers de JS / VBS alojados en plataformas públicas, o archivos ZIP protegidos con contraseña que contienen las cargas directamente», dijeron los investigadores de Acronis Santiago Pontiroli, Jozsef Gegeny e ilia Dafchev.
Los ataques condujeron al despliegue de troyanos de golpe remoto como Asyncrat y REMCOS RAT, con campañas recientes que todavía utilizan un cargador .NET asociado con Katz Stealer. Estas cadenas de ataque implican ocultar las cargas efectos interiormente del texto codificado por Base64 de los archivos de imagen alojados en el archivo de Internet.
Un aspecto sobresaliente de la campaña es el uso de técnicas de contrabando SVG para ofrecer archivos de cremallera maliciosas utilizando archivos SVG. Estas cargas efectos están alojadas en servicios de intercambio de archivos como Bitbucket, Dropbox, Discord e Ydray. Los archivos de descarga contienen tanto ejecutivos legítimos como DLL maliciosos, la última de las cuales se resuelven para servir en última instancia a los troyanos.
«Una cambio natural de sus técnicas de contrabando anteriores de SVG, este actor de amenaza ha prohijado un cargador modular residente de la memoria que puede ejecutar cargas efectos dinámica y completamente en la memoria, dejando huellas mínimas», dijeron los investigadores.
«La presencia de cadenas de estilo portugués y parámetros de método interiormente del cargador refleja TTP comúnmente observados en malware bancario brasileño, lo que sugiere una reutilización de código potencial, bienes de incremento compartido o incluso colaboración de actores interregionales».
ClickFix Surge provoca compromisos de transmisión
Los hallazgos todavía coinciden con un aumento en los ataques de ingeniería social que emplean la táctica de ClickFix para desplegar robadores y troyanos de golpe remoto como Lumma Stealer y Sectoprat bajo la apariencia de solucionar un problema o completar una demostración de Captcha.
Según las estadísticas compartidas por Reliaquest, los compromisos de manejo representaron el 23% de todas las tácticas basadas en phishing observadas entre marzo y mayo de 2025. «Las técnicas como ClickFix fueron fundamentales para las descargas de conducción», dijo la compañía de seguridad cibernética.
ClickFix es efectivo principalmente porque engaña a los objetivos para admitir a mango acciones aparentemente inofensivas y cotidianas que es poco probable que generen banderas rojas, porque están tan acostumbrados a ver páginas de detección de Captcha y otras notificaciones. Lo que lo hace convincente es que los usuarios hagan el trabajo principal de infectar sus propias máquinas en punto de tener que acudir a métodos más sofisticados como explotar fallas de software.
«Los bienes remotos externos cayeron del tercer al cuarto punto a medida que los atacantes explotan cada vez más los errores de los usuarios en punto de las vulnerabilidades técnicas», dijo Reliaquest. «Este cambio probablemente esté impulsado por la simplicidad, la tasa de éxito y la aplicabilidad universal de las campañas de ingeniería social como ClickFix».
