Una nueva campaña está utilizando subdominios de túnel Cloudflare para encajar cargas enseres maliciosas y entregarlas a través de archivos adjuntos maliciosos integrados en correos electrónicos de phishing.
La campaña en curso ha sido nombrada en código Serpentina#nimbo por Securonix.
Aprovecha “la infraestructura del túnel CloudFlare y los cargadores basados en Python para entregar cargas enseres inyectadas en memoria a través de una esclavitud de archivos de llegada directo y scripts ofuscados”, dijo el investigador de seguridad Tim Peck en un mensaje compartido con Hacker News.
El ataque comienza con el emisión de correos electrónicos de phishing con temas de cuota o nota que llevan un enlace a un documento adherido que contiene un archivo de llegada directo (LNK) de Windows. Estos atajos están disfrazados de documentos para engañar a las víctimas para que las abran, activando efectivamente la secuencia de infección.
El minucioso proceso de múltiples pasos culmina en la ejecución de un cargador de shellcode basado en Python que ejecuta cargas enseres empaquetadas con el cargador de donas de código libre completamente en la memoria.
Securonix dijo que la campaña ha atacado a los Estados Unidos, el Reino Unido, Alemania y otras regiones en Europa y Asia. La identidad de los actores de amenaza detrás de la campaña se desconoce actualmente, aunque la compañía de seguridad cibernética señaló su fluidez en inglés.
El clúster de actividad de amenazas asimismo es importante por sus métodos de llegada iniciales cambiantes, girando desde archivos de llegada directo de Internet (URL) para usar archivos de llegada directo LNK disfrazado de documentos PDF. Estas cargas enseres se utilizan para recuperar etapas adicionales sobre WebDAV a través de los subdominios del túnel CloudFlare.
Vale la pena señalar que Esentire y Proofpoint documentan previamente una variación de esta campaña el año pasado, con los ataques allanando el camino para Asyncrat, Guloader, Purelogs Stealer, Remcos Rat, Venom Rat y Xworm.
El desmán de TryCloudflare ofrece ventajas múltiples. Para asomar, los actores maliciosos han dificultado durante mucho tiempo el uso de proveedores de servicios de nimbo legítimos como frente para sus operaciones, incluida la entrega de carga útil y la comunicación de comando y control (C2).
Al usar un subdominio de buena reputación (“*.trycloudflare (.) Com”) para fines nefastos, hace que sea extremadamente difícil para los defensores distinguir entre actividades dañinas y benignas, lo que permite evitar la URL o los mecanismos de retiro basados en el dominio.
La infección original ocurre cuando se inician los archivos LNK, lo que hace que descargue una carga útil de la próxima etapa, un archivo de script de Windows (WSF), desde una bono web remota alojada en un subdominio de túnel CloudFlare. El archivo WSF se ejecuta después utilizando cscript.exe de una forma sin despertar la sospecha de la víctima.
“Este archivo WSF funciona como un cargador versátil basado en VBScript, diseñado para ejecutar un archivo por lotes extranjero desde un segundo dominio de CloudFlare”, dijo Peck. “El archivo ‘kiki.bat’ sirve como el principal script de entrega de carga útil a continuación en la serie de decisiones. En caudillo, está diseñado para el sigilo y la persistencia”.
La responsabilidad principal del script por lotes es mostrar un documento PDF señuelo, efectuar el software antivirus y descargar y ejecutar cargas enseres de Python, que luego se utilizan para ejecutar cargas enseres llenas de donas como Asyncrat o Revenge Rat en la memoria.
Securonix dijo que existe la posibilidad de que el script haya sido codificado por un maniquí de idioma excelso adecuado a la presencia de comentarios admisiblemente definidos en el código fuente.
“La Campaña de la nimbo de#serpentina es una esclavitud de infecciones compleja y en capas que combina un poco de ingeniería social, técnicas de vida y la ejecución evasiva del código en la memoria”, concluyó la compañía. “El desmán de la infraestructura del túnel de Cloudflare complica aún más la visibilidad de la red al darle al actor una capa de transporte desechable y encriptada para organizar archivos maliciosos sin sustentar la infraestructura tradicional”.
Shadow Vector apunta a los usuarios colombianos a través del contrabando de SVG
La divulgación se produce cuando Acronis identificó una campaña de malware activa doblada Vector de sombra Se dirige a los usuarios en Colombia utilizando archivos de gráficos vectoriales escalables (SVG) de Trapy Booby como el vector de entrega de malware en correos electrónicos de phishing que se hacen advenir por notificaciones judiciales.
“Los atacantes distribuyeron correos electrónicos de phishing de asta que se hacen advenir por instituciones de confianza en Colombia, entregando señuelos de SVG con enlaces integrados a los stagers de JS / VBS alojados en plataformas públicas, o archivos ZIP protegidos con contraseña que contienen las cargas directamente”, dijeron los investigadores de Acronis Santiago Pontiroli, Jozsef Gegeny e ilia Dafchev.
Los ataques condujeron al despliegue de troyanos de llegada remoto como Asyncrat y REMCOS RAT, con campañas recientes que asimismo utilizan un cargador .NET asociado con Katz Stealer. Estas cadenas de ataque implican ocultar las cargas enseres en el interior del texto codificado por Base64 de los archivos de imagen alojados en el archivo de Internet.
Un aspecto importante de la campaña es el uso de técnicas de contrabando SVG para ofrecer archivos de cremallera maliciosas utilizando archivos SVG. Estas cargas enseres están alojadas en servicios de intercambio de archivos como Bitbucket, Dropbox, Discord e Ydray. Los archivos de descarga contienen tanto ejecutivos legítimos como DLL maliciosos, la última de las cuales se resuelven para servir en última instancia a los troyanos.
“Una progreso natural de sus técnicas de contrabando anteriores de SVG, este actor de amenaza ha adoptivo un cargador modular residente de la memoria que puede ejecutar cargas enseres dinámica y completamente en la memoria, dejando huellas mínimas”, dijeron los investigadores.
“La presencia de cadenas de idioma portugués y parámetros de método en el interior del cargador refleja TTP comúnmente observados en malware bancario brasileño, lo que sugiere una reutilización de código potencial, fortuna de explicación compartido o incluso colaboración de actores interregionales”.
ClickFix Surge provoca compromisos de transmisión
Los hallazgos asimismo coinciden con un aumento en los ataques de ingeniería social que emplean la táctica de ClickFix para desplegar robadores y troyanos de llegada remoto como Lumma Stealer y Sectoprat bajo la apariencia de solucionar un problema o completar una demostración de Captcha.
Según las estadísticas compartidas por Reliaquest, los compromisos de manejo representaron el 23% de todas las tácticas basadas en phishing observadas entre marzo y mayo de 2025. “Las técnicas como ClickFix fueron fundamentales para las descargas de conducción”, dijo la compañía de seguridad cibernética.
ClickFix es efectivo principalmente porque engaña a los objetivos para transigir a punta acciones aparentemente inofensivas y cotidianas que es poco probable que generen banderas rojas, porque están tan acostumbrados a ver páginas de detección de Captcha y otras notificaciones. Lo que lo hace convincente es que los usuarios hagan el trabajo principal de infectar sus propias máquinas en oportunidad de tener que apelar a métodos más sofisticados como explotar fallas de software.
“Los fortuna remotos externos cayeron del tercer al cuarto oportunidad a medida que los atacantes explotan cada vez más los errores de los usuarios en oportunidad de las vulnerabilidades técnicas”, dijo Reliaquest. “Este cambio probablemente esté impulsado por la simplicidad, la tasa de éxito y la aplicabilidad universal de las campañas de ingeniería social como ClickFix”.
