Yeni bir kampanya, kötü niyetli yükleri barındırmak ve kimlik avı e -postalarına gömülü kötü amaçlı ekler aracılığıyla sunmak için Cloudflare Tüneli alt alanlarından yararlanıyor.
Devam eden kampanyaya kodlandı Serpantin#bulut Securonix tarafından.
Güvenlik Araştırmacı Tim Peck, Hacker News ile paylaşılan bir raporda, “Cloudflare Tüneli Altyapısı ve Python tabanlı yükleyicileri, kısayol dosyaları ve gizlenmiş komut dosyaları zinciri aracılığıyla bir kısayol dosyaları ve gizlenmiş komut dosyaları ile sunmak için kullanıyor.” Dedi.
Saldırı, Windows kısayolu (LNK) dosyası içeren fermuarlı bir belgeye bağlantı taşıyan ödeme veya fatura temalı kimlik avı gönderme ile başlar. Bu kısayollar kurbanları açmaya yönelik belgeler olarak gizlenir ve enfeksiyon dizisini etkili bir şekilde aktive eder.
Ayrıntılı çok aşamalı işlem, tamamen bellekte açık kaynaklı çörek yükleyicisi ile dolu yükleri yürüten Python tabanlı bir kabuk kodu yükleyicisinin yürütülmesiyle sonuçlanır.
Securonix, kampanyanın ABD, Birleşik Krallık, Almanya ve Avrupa ve Asya’daki diğer bölgeleri hedeflediğini söyledi. Siber güvenlik şirketi İngilizce akıcılıklarına dikkat çekmesine rağmen, kampanyanın arkasındaki tehdit oyuncusu (lar) ın kimliği şu anda bilinmemektedir.
Tehdit etkinliği kümesi, internet kısayolu (URL) dosyalarından PDF belgeleri olarak maskelenen LNK kısayol dosyalarını kullanmaya kadar değiştirilen başlangıç erişim yöntemleri ile de dikkat çekicidir. Bu yükler daha sonra Cloudflare tüneli alt alanları aracılığıyla WebDAV üzerinden ek aşamalar almak için kullanılır.
Bu kampanyanın bir varyasyonunun daha önce geçen yıl Esentire ve Proofpoint tarafından belgelendiğini ve saldırıların Asyncrat, Guloader, Purelogs Stealer, Remcos Rat, Venom Rat ve Xworm’un yolunu açtığını belirtmek gerekir.
Trycloudflare’nin kötüye kullanılması manifold avantajları sunar. Yeni başlayanlar için, kötü niyetli aktörler uzun zamandır, taşıma teslimi ve komut ve kontrol (C2) iletişimi de dahil olmak üzere, meşru bulut servis sağlayıcılarını operasyonları için bir cephe olarak kullanarak tespit etmeyi zorlaştırdılar.
Saygın bir alt alan kullanarak (“*. Trycloudflare[.]Com “) Haksız uçlar için, savunucuların zararlı ve iyi huylu faaliyetler arasında ayrım yapmasını ve böylece URL veya alan tabanlı engelleme mekanizmalarından kaçmasına izin vermesini son derece zorlaştırır.
İlk enfeksiyon, LNK dosyaları başlatıldığında meydana gelir ve bu da bir Cloudflare tüneli alt alanında barındırılan uzak bir WebDAV paylaşımından bir sonraki aşamalı yük, bir Windows komut dosyası dosyası (WSF) indirmesine neden olur. WSF dosyası daha sonra kurbanın şüphesini uyandırmadan cscript.exe kullanılarak yürütülür.
Peck, “Bu WSF dosyası, ikinci bir CloudFlare alanından harici bir toplu iş dosyası yürütmek için tasarlanmış hafif VBScript tabanlı bir yükleyici olarak işlev görüyor.” Dedi. “‘Kiki.bat’ dosyası, stager serisinin bir sonraki ana yük dağıtım komut dosyası olarak hizmet ediyor. Genel olarak, gizli ve kalıcılık için tasarlanmıştır.”
Toplu komut dosyasının birincil sorumluluğu, bir tuzak PDF belgesi görüntülemek, antivirüs yazılımı olup olmadığını kontrol etmek ve daha sonra bellekte Asyncrat veya Revenge Rat gibi çörek dolu yükleri çalıştırmak için kullanılan Python yüklerini indirmek ve yürütmektir.
Securonix, komut dosyasının kaynak kodunda iyi tanımlanmış yorumların varlığı nedeniyle büyük bir dil modeli kullanılarak vibe kodlanmış olabileceğini söyledi.
Şirket, “Serpantin#Bulut Kampanyası, biraz sosyal mühendislik, kara geçirme tekniklerini ve kaçınılmaz bellek içi kod yürütmesini harmanlayan karmaşık ve katmanlı bir enfeksiyon zinciridir.” “Cloudflare tüneli altyapısının kötüye kullanılması, aktöre geleneksel altyapıyı korumadan kötü niyetli dosyalar hazırlamak için tek kullanımlık ve şifreli bir taşıma katmanı vererek ağ görünürlüğünü daha da karmaşıklaştırıyor.”
Shadow Vector, SVG kaçakçılığı yoluyla Kolombiyalı kullanıcıları hedefliyor
Açıklama, Acronis’in aktif bir kötü amaçlı yazılım kampanyasını tanımladığı gibi geliyor Gölge Vektör Kolombiya’daki kullanıcıları, mahkeme bildirimlerini taklit eden kimlik avı e-postalarında kötü amaçlı yazılım dağıtım vektörü olarak booby tuzağa düşürülebilir ölçeklenebilir vektör grafikleri (SVG) dosyalarını kullanarak hedeflemek.
“Saldırganlar, Kolombiya’daki güvenilir kurumları taklit eden mızrak-akıcı e-postaları dağıttı, kamu platformlarında barındırılan JS / VBS stagers’a gömülü bağlantılarla SVG tuzakları veya yükleri doğrudan içeren şifre korumalı zip dosyaları sundu.” Dedi.
Saldırılar, Asyncrat ve Remcos Rat gibi uzaktan erişim truva atlarının konuşlandırılmasına yol açtı ve son kampanyalar da Katz Stealer ile ilişkili bir .NET yükleyici kullandı. Bu saldırı zincirleri, Internet Arşivinde barındırılan Base64 kodlu görüntü dosyalarının metninde yüklerin gizlenmesini içerir.
Kampanyanın dikkate değer bir yönü, SVG dosyalarını kullanarak kötü amaçlı zip arşivleri sunmak için SVG kaçakçılık tekniklerinin kullanılmasıdır. Bu yükler, Bitbucket, Dropbox, Discord ve YDRAY gibi dosya paylaşım hizmetlerinde barındırılır. İndirme arşivleri, hem meşru yürütülebilir hem de kötü amaçlı DLL’ler içerir, ikincisi nihayetinde Truva atlarına hizmet etmek için yan yüklenir.
Araştırmacılar, “Daha önceki SVG kaçakçılık tekniklerinden doğal bir evrim olan bu tehdit oyuncusu, yükleri dinamik ve tamamen bellekte yürütebilen ve geride minimum izler bırakabilen modüler, bellek yerleşik bir yükleyici benimsedi.” Dedi.
“Brezilya bankacılık kötü amaçlı yazılımlarında yaygın olarak gözlemlenen, potansiyel kod yeniden kullanımını, paylaşılan geliştirme kaynaklarını veya hatta bölgeler arası aktör işbirliğini öneren Portekizli dil dizelerinin ve yöntem parametrelerinin varlığı TTP’ler.”
ClickFix Surge Drive-By Tazminatları Tazminat
Bulgular ayrıca, bir sorunu düzeltme veya bir CAPTCHA doğrulamasını tamamlama kisvesi altında stealer ve Lumma Stealer ve Sectoprat gibi uzaktan erişim truva atlarını dağıtmak için ClickFix taktiklerini kullanan sosyal mühendislik saldırılarındaki artışla da çakışıyor.
Reliaquest tarafından paylaşılan istatistiklere göre, Mart ve Mayıs 2025 arasında gözlemlenen tüm kimlik avı tabanlı taktiklerin% 23’ünü oluşturdu.
ClickFix öncelikle etkilidir, çünkü hedefleri herhangi bir kırmızı bayrak yükseltme olasılığı düşük olan görünüşte zararsız, günlük eylemler gerçekleştirmeye kandırır, çünkü Captcha tarama sayfalarını ve diğer bildirimleri görmeye alışırlar. Onu zorlaştıran şey, kullanıcıların yazılım kusurlarından yararlanmak gibi daha sofistike yöntemlere başvurmak yerine kendi makinelerini enfekte etme ana işi yapmalarını sağlamasıdır.
Reliaquest, “Dış uzaktan uzak kaynaklar, saldırganların teknik güvenlik açıklarından ziyade giderek daha fazla kullanıcı hatalarından yararlandıkça üçüncüden dördüncü sıraya düştü.” Dedi. “Bu değişim muhtemelen ClickFix gibi sosyal mühendislik kampanyalarının sadeliği, başarı oranı ve evrensel uygulanabilirliği ile yönlendiriliyor.”