كشفت شركة Securonix عن حملة إلكترونية خبيثة نشطة تُعرف باسم SERPENTINE#CLOUD ، تستغل خدمة Cloudflare Tunnel لاستضافة برمجيات ضارة وتوزيعها عبر مرفقات تصيّد مموهة في رسائل بريد إلكتروني.
تبدأ الهجمة برسائل بريد إلكتروني تحمل طابعًا ماليًا (مثل فواتير أو مدفوعات)، وتحتوي على رابط لتحميل ملف مضغوط يضم اختصارًا لنظام ويندوز (LNK) مموهًا على هيئة مستند. عند فتحه، يبدأ تسلسل عدوى متعدد المراحل ينتهي بتنفيذ محمل شيفرة خبيثة مكتوب بلغة Python، يقوم بتحميل برمجيات تجسس مثل AsyncRAT وRevenge RAT مباشرة في الذاكرة دون حفظها على القرص.
أبرز تقنيات الهجوم:
– استخدام ملفات اختصار LNK مموهة على هيئة ملفات PDF.
– تحميل مراحل إضافية عبر بروتوكول WebDAV من خلال نطاقات فرعية لخدمة TryCloudflare.
– تنفيذ البرمجيات الخبيثة في الذاكرة باستخدام محمل Donut لتفادي الكشف.
– عرض مستند PDF مزيف، والتحقق من وجود برامج حماية، ثم تحميل وتشغيل حمولة Python.
دوافع استخدام Cloudflare Tunnel:
– إخفاء البنية التحتية للهجوم خلف خدمة شرعية.
– تجاوز آليات الحظر القائمة على النطاقات.
– تجنب الحاجة لتسجيل نطاقات أو استئجار خوادم.
حملات موازية:
– Shadow Vector: حملة تستهدف المستخدمين في كولومبيا باستخدام ملفات SVG خبيثة مموهة على هيئة إشعارات قضائية، تؤدي إلى تحميل أدوات تحكم عن بُعد مثل AsyncRAT وRemcos RAT.
– ClickFix: أسلوب تصيّد اجتماعي متطور يخدع المستخدمين لتنفيذ أوامر خبيثة يدويًا عبر واجهات تحقق مزيفة (مثل CAPTCHA)، ويُستخدم لنشر برمجيات مثل Lumma Stealer وSectopRAT.
