Uma nova campanha está utilizando subdomínios do Cloudflare Tunnel para hospedar payloads maliciosos e entregá-los por meio de anexos maliciosos embutidos em e-mails de phishing.
A campanha em andamento foi batizada de SERPENTINE#CLOUD pela Securonix.
Ela utiliza a "infraestrutura do Cloudflare Tunnel e loaders baseados em Python para entregar payloads injetados na memória por meio de uma cadeia de arquivos de atalho e scripts ofuscados," disse o pesquisador de segurança Tim Peck em um relatório compartilhado com a imprensa.
O ataque começa com o envio de e-mails de phishing temáticos de pagamento ou fatura, contendo um link para um documento compactado que tem um arquivo de atalho do Windows (LNK).
Esses atalhos são disfarçados de documentos para enganar as vítimas, fazendo com que as abram, ativando efetivamente a sequência de infecção.
O processo elaborado de múltiplos passos culmina na execução de um loader de shellcode baseado em Python que executa payloads empacotados com o loader open-source Donut inteiramente na memória.
A Securonix disse que a campanha tem como alvo os Estados Unidos, Reino Unido, Alemanha e outras regiões da Europa e Ásia.
A identidade dos atores de ameaça por trás da campanha é atualmente desconhecida, embora a empresa de cibersegurança tenha apontado sua fluência em inglês.
O cluster de atividade de ameaça também é notável por suas mudanças nos métodos de acesso inicial, pivotando de arquivos de atalho da internet (URL) para usar arquivos de atalho LNK disfarçados de documentos PDF.
Esses payloads são usados em seguida para recuperar estágios adicionais via WebDAV por meio dos subdomínios do Cloudflare Tunnel.
Vale mencionar aqui que uma variação desta campanha foi previamente documentada pela eSentire e Proofpoint no ano passado, com os ataques preparando o terreno para AsyncRAT, GuLoader, PureLogs Stealer, Remcos RAT, Venom RAT e XWorm.
"Enquanto a infraestrutura e os mecanismos de entrega são muito similares, há definitivamente evidências para sugerir que a campanha SERPENTINE#CLOUD poderia ser uma continuação de uma campanha anterior, embora com diferenças notáveis," contou Peck .
"As diferenças na complexidade do payload e no direcionamento sugerem que eles podem ser não relacionados ou representar atores de ameaças distintos convergindo para uma tática popular que simplesmente funciona."
Algumas dessas diferenças incluem o uso de extensa ofuscação de código, estágios adicionais para ajudar a passar despercebido e a implementação de loaders de shellcode Python para entregar os payloads principais, ao invés de servir diretamente malwares de commodity.
"Dadas as semelhanças, é possível que os mesmos atores de ameaça por trás dela tenham reequipado e modernizado sua cadeia de ataque, ou é possível que este seja um ator de ameaça completamente diferente que está capitalizando em cadeias de ataque conhecidas que se provam eficazes," Peck adicionou.
O abuso do TryCloudflare oferece múltiplas vantagens.
Para começar, atores maliciosos têm tornado mais difícil a detecção ao usar provedores legítimos de serviços em nuvem como uma fachada para suas operações, incluindo a entrega de payload e comunicação de comando-e-controle (C2).
Ao usar um subdomínio respeitável ("*.trycloudflare[.]com") para fins nefastos, torna-se extremamente difícil para os defensores distinguir entre atividades prejudiciais e benignas, permitindo assim que se evite mecanismos de bloqueio baseados em URL ou domínio.
A infecção inicial ocorre quando os arquivos LNK são lançados, fazendo com que ele baixe um payload de próxima fase, um Arquivo de Script do Windows (WSF), de um compartilhamento WebDAV remoto hospedado em um subdomínio do Cloudflare Tunnel.
O arquivo WSF é posteriormente executado usando cscript.exe de uma maneira que não desperte a suspeita da vítima.
"Este arquivo WSF funciona como um loader baseado em VBScript leve, projetado para executar um arquivo batch externo de um segundo domínio do Cloudflare," Peck disse.
O arquivo 'kiki.bat' serve como o script principal de entrega do payload na série de estagiários. No geral, é projetado para discrição e persistência.
A principal responsabilidade do script em batch é exibir um documento PDF falso, verificar a presença de softwares antivírus e baixar e executar payloads Python, que são então usados para rodar payloads empacotados com Donut como AsyncRAT ou Revenge RAT na memória.
A Securonix disse que há uma possibilidade de que o script possa ter sido vibe-coded usando um modelo de linguagem grande devido à presença de comentários bem definidos no código-fonte.
"A campanha SERPENTINE#CLOUD é uma cadeia de infecção complexa e em camadas que mistura um pouco de engenharia social, técnicas de living-off-the-land e execução de código evasivo na memória," a empresa concluiu.
O abuso da infraestrutura do Cloudflare Tunnel complica ainda mais a visibilidade da rede, dando ao ator uma camada de transporte descartável e criptografada para o staging de arquivos maliciosos sem manter uma infraestrutura tradicional.
Shadow Vector visa usuários colombianos por meio do contrabando de SVG
A revelação ocorre enquanto a Acronis identificou uma campanha de malware ativa chamada Shadow Vector, visando usuários na Colômbia usando arquivos de gráficos vetoriais escaláveis (SVG) como vetor de entrega de malware em e-mails de phishing que se passam por notificações judiciais.
"Os atacantes distribuíram e-mails de spear-phishing se passando por instituições confiáveis na Colômbia, entregando iscas de SVG com links embutidos para estagiários JS / VBS hospedados em plataformas públicas, ou arquivos ZIP protegidos por senha contendo os payloads diretamente," disseram os pesquisadores da Acronis Santiago Pontiroli, Jozsef Gegeny, e Ilia Dafchev.
Os ataques levaram ao deploy de trojans de acesso remoto como AsyncRAT e Remcos RAT, com campanhas recentes também utilizando um loader .NET associado ao Katz Stealer.
Essas cadeias de ataque envolvem esconder os payloads dentro de texto codificado em Base64 de arquivos de imagem hospedados no Internet Archive.
Um aspecto notável da campanha é o uso de técnicas de contrabando SVG para entregar arquivos ZIP maliciosos usando arquivos SVG.
Esses payloads são hospedados em serviços de compartilhamento de arquivos como Bitbucket, Dropbox, Discord e YDRAY.
Os arquivos baixados contêm executáveis legítimos e DLLs maliciosas, que são carregadas lateralmente para servir os trojans finalmente.
"Uma evolução natural de suas técnicas anteriores de contrabando SVG, esse ator de ameaça adotou um loader modular residente na memória que pode executar payloads dinamicamente e inteiramente na memória, deixando rastros mínimos," disseram os pesquisadores.
"A presença de strings em português e parâmetros de métodos dentro do loader espelha TTPs comumente observadas em malwares bancários brasileiros, sugerindo reuso de código, recursos de desenvolvimento compartilhados ou até colaboração entre atores de regiões diferentes."
Surto de ClickFix impulsiona comprometimentos drive-by
Os achados também coincidem com um aumento nos ataques de engenharia social que empregam a tática ClickFix para deploy de stealers e trojans de acesso remoto como Lumma Stealer e SectopRAT sob o pretexto de correção de um problema ou completar uma verificação CAPTCHA.
Top 3 famílias de malware distribuídas via ClickFix entre março e maio de 2025
De acordo com estatísticas compartilhadas pela ReliaQuest, compromissos drive-by representaram 23% de todas as táticas baseadas em phishing observadas entre março e maio de 2025.
"Técnicas como ClickFix foram centrais para downloads drive-by," disse a empresa de cibersegurança.
ClickFix é eficaz principalmente porque engana os alvos a realizarem ações aparentemente inofensivas do dia a dia que são improváveis de levantar suspeitas, porque eles estão tão acostumados a ver páginas de triagem CAPTCHA e outras notificações.
O que o torna convincente é que faz com que os usuários façam o principal trabalho de infectar suas próprias máquinas em vez de ter que recorrer a métodos mais sofisticados como explorar falhas de software.
"Recursos remotos externos caíram de terceiro para quarto lugar à medida que os atacantes exploram cada vez mais erros dos usuários em vez de vulnerabilidades técnicas," disse a ReliaQuest.
"Essa mudança é provavelmente impulsionada pela simplicidade, taxa de sucesso e aplicabilidade universal de campanhas de engenharia social como o ClickFix."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...