Ты просто кликнул на файл — а в ОЗУ уже проснулось что-то, чего там быть не должно
NewsMakerБатник шепнул скрипту, ярлык сделал вид, что он документ, а Cloudflare не заметил ничего подозрительного.
Новая вредоносная кампания, получившая название SERPENTINE#CLOUD, использует поддомены Cloudflare Tunnel для доставки вредоносных файлов через вложения в фишинговых письмах. Эту сложную многоэтапную схему заражения выявила компания Securonix, зафиксировав активность сразу в нескольких регионах — в том числе в США, Великобритании, Германии, а также ряде стран Европы и Азии.
Первый этап атаки начинается с массовой рассылки писем с темами, связанными с оплатой или счётом. Во вложениях — ZIP-архив с ярлыком Windows, замаскированным под PDF-документ. Открытие такого файла запускает цепочку заражения, при которой происходит скачивание скрипта с удалённого WebDAV-сервера, размещённого на поддомене Cloudflare Tunnel. Это позволяет злоумышленникам использовать инфраструктуру популярного облачного сервиса в качестве неприметного транспортного слоя, способного обходить защитные механизмы, блокирующие подозрительные домены.
Следующий этап задействует Windows Script File ( WSF ), запускаемый через cscript.exe. Этот скрипт, написанный на VBScript, выполняет загрузку внешнего батч-файла — kiki.bat, также размещённого на поддомене Cloudflare. Он подменяет пользовательский опыт, открывая поддельный PDF-документ, чтобы отвлечь внимание жертвы, а затем выполняет проверку на наличие антивирусных программ и загружает следующий полезный нагрузочный компонент — скрипты на Python.
На завершающей стадии применяется загрузчик, созданный на Python, который внедряет в память вредоносный код, упакованный с помощью инструмента Donut — известного open-source средства для инъекций в память. Среди возможных исполняемых нагрузок обнаружены AsyncRAT, Revenge RAT и другие RAT-инструменты (удалённый доступ), такие как GuLoader, Remcos, PureLogs Stealer, XWorm и Venom RAT. Все они действуют исключительно в памяти, не оставляя следов в файловой системе, что серьёзно осложняет их обнаружение.
Особое внимание специалисты обратили на эволюцию начальных векторов доступа. Если ранее злоумышленники использовали файлы интернет-ярлыков ( URL ), то теперь основным способом стали обычные Windows-ярлыки ( LNK ), выдаваемые за документы. Эти подделки активируют загрузку через WebDAV, используя поддомены вида «.trycloudflare[.]com», что делает вредоносный трафик практически неотличимым от легитимного.
Кроме того, в исходном коде батч- и VBScript-файлов аналитики обнаружили подробные комментарии, что может свидетельствовать об участии в создании вредоносной логики языковых моделей — по аналогии с генерацией кода на основе LLM. В совокупности это превращает кампанию в трудноотслеживаемую, многослойную и тщательно замаскированную угрозу.
Ключевым фактором эффективности SERPENTINE#CLOUD является сочетание социальной инженерии, малозаметных встроенных средств Windows ( living-off-the-land ) и приёмов скрытого выполнения кода в памяти. Использование инфраструктуры Cloudflare Tunnel обеспечивает не только шифрованный канал доставки, но и полную замену традиционной С2-архитектуры, сводя к минимуму возможности обнаружения и анализа со стороны специалистов по информационной безопасности.
Securonix предупреждает, что кампания продолжается и может быть адаптирована для новых регионов и сценариев, а также отмечает, что авторы демонстрируют хорошее владение английским языком, но их точная принадлежность остаётся неустановленной.
Новая вредоносная кампания, получившая название SERPENTINE#CLOUD, использует поддомены Cloudflare Tunnel для доставки вредоносных файлов через вложения в фишинговых письмах. Эту сложную многоэтапную схему заражения выявила компания Securonix, зафиксировав активность сразу в нескольких регионах — в том числе в США, Великобритании, Германии, а также ряде стран Европы и Азии.
Первый этап атаки начинается с массовой рассылки писем с темами, связанными с оплатой или счётом. Во вложениях — ZIP-архив с ярлыком Windows, замаскированным под PDF-документ. Открытие такого файла запускает цепочку заражения, при которой происходит скачивание скрипта с удалённого WebDAV-сервера, размещённого на поддомене Cloudflare Tunnel. Это позволяет злоумышленникам использовать инфраструктуру популярного облачного сервиса в качестве неприметного транспортного слоя, способного обходить защитные механизмы, блокирующие подозрительные домены.
Следующий этап задействует Windows Script File ( WSF ), запускаемый через cscript.exe. Этот скрипт, написанный на VBScript, выполняет загрузку внешнего батч-файла — kiki.bat, также размещённого на поддомене Cloudflare. Он подменяет пользовательский опыт, открывая поддельный PDF-документ, чтобы отвлечь внимание жертвы, а затем выполняет проверку на наличие антивирусных программ и загружает следующий полезный нагрузочный компонент — скрипты на Python.
На завершающей стадии применяется загрузчик, созданный на Python, который внедряет в память вредоносный код, упакованный с помощью инструмента Donut — известного open-source средства для инъекций в память. Среди возможных исполняемых нагрузок обнаружены AsyncRAT, Revenge RAT и другие RAT-инструменты (удалённый доступ), такие как GuLoader, Remcos, PureLogs Stealer, XWorm и Venom RAT. Все они действуют исключительно в памяти, не оставляя следов в файловой системе, что серьёзно осложняет их обнаружение.
Особое внимание специалисты обратили на эволюцию начальных векторов доступа. Если ранее злоумышленники использовали файлы интернет-ярлыков ( URL ), то теперь основным способом стали обычные Windows-ярлыки ( LNK ), выдаваемые за документы. Эти подделки активируют загрузку через WebDAV, используя поддомены вида «.trycloudflare[.]com», что делает вредоносный трафик практически неотличимым от легитимного.
Кроме того, в исходном коде батч- и VBScript-файлов аналитики обнаружили подробные комментарии, что может свидетельствовать об участии в создании вредоносной логики языковых моделей — по аналогии с генерацией кода на основе LLM. В совокупности это превращает кампанию в трудноотслеживаемую, многослойную и тщательно замаскированную угрозу.
Ключевым фактором эффективности SERPENTINE#CLOUD является сочетание социальной инженерии, малозаметных встроенных средств Windows ( living-off-the-land ) и приёмов скрытого выполнения кода в памяти. Использование инфраструктуры Cloudflare Tunnel обеспечивает не только шифрованный канал доставки, но и полную замену традиционной С2-архитектуры, сводя к минимуму возможности обнаружения и анализа со стороны специалистов по информационной безопасности.
Securonix предупреждает, что кампания продолжается и может быть адаптирована для новых регионов и сценариев, а также отмечает, что авторы демонстрируют хорошее владение английским языком, но их точная принадлежность остаётся неустановленной.