Вредоносная кампания под кодовым названием SERPENTINE#CLOUD стала одной из самых незаметных, но технически изощренных за последнее время.
По данным Securonix, злоумышленники научились использовать поддомены Cloudflare Tunnel для доставки вредоносного кода, который обходит почти все защитные барьеры.
Объектами атаки стали пользователи в США, Великобритании, Германии и других странах Европы и Азии.
Всё начинается с безобидного письма на тему счета или оплаты. Внутри — ZIP-архив, где скрывается LNK-файл (ярлык), замаскированный под PDF. Одно нажатие — и система запускает цепочку загрузок: сперва исполняется скрипт, затем — батник, который подсовывает фальшивый документ, отвлекая внимание. В это время система проверяется на наличие антивирусов, а затем в оперативную память внедряется RAT — удалённый шпионский инструмент, не оставляющий ни файла, ни следа. Среди обнаруженных: AsyncRAT, Remcos, GuLoader и XWorm.
Инфраструктура Cloudflare Tunnel — ключевой элемент схемы. Она маскирует загрузку вредоносного кода как обычный трафик, позволяя злоумышленникам обходить фильтры. Переход от URL-файлов к LNK-файлам — ещё один шаг в сторону реалистичности и незаметности. Скрипты сопровождаются комментариями, что наталкивает на мысль об участии ИИ в разработке цепочки заражения.
Всё это делает SERPENTINE#CLOUD опасной не только из-за используемых технологий, но и из-за того, как глубоко она маскируется под легитимную активность. Компания всё ещё активна и, как предупреждает Securonix, может быть адаптирована под новые цели.
По данным Securonix, злоумышленники научились использовать поддомены Cloudflare Tunnel для доставки вредоносного кода, который обходит почти все защитные барьеры.
Объектами атаки стали пользователи в США, Великобритании, Германии и других странах Европы и Азии.
Всё начинается с безобидного письма на тему счета или оплаты. Внутри — ZIP-архив, где скрывается LNK-файл (ярлык), замаскированный под PDF. Одно нажатие — и система запускает цепочку загрузок: сперва исполняется скрипт, затем — батник, который подсовывает фальшивый документ, отвлекая внимание. В это время система проверяется на наличие антивирусов, а затем в оперативную память внедряется RAT — удалённый шпионский инструмент, не оставляющий ни файла, ни следа. Среди обнаруженных: AsyncRAT, Remcos, GuLoader и XWorm.
Инфраструктура Cloudflare Tunnel — ключевой элемент схемы. Она маскирует загрузку вредоносного кода как обычный трафик, позволяя злоумышленникам обходить фильтры. Переход от URL-файлов к LNK-файлам — ещё один шаг в сторону реалистичности и незаметности. Скрипты сопровождаются комментариями, что наталкивает на мысль об участии ИИ в разработке цепочки заражения.
Всё это делает SERPENTINE#CLOUD опасной не только из-за используемых технологий, но и из-за того, как глубоко она маскируется под легитимную активность. Компания всё ещё активна и, как предупреждает Securonix, может быть адаптирована под новые цели.
