Source: https://thehackernews.com/2025/06/new-malware-campaign-uses-cloudflare.html
🛡 概要
新たなマルウェアキャンペーンが、クラウドフレアトンネルのサブドメインを利用して悪意のあるペイロードをホストし、フィッシングメールに埋め込まれた悪質な添付ファイルを通じて配信されています。このキャンペーンは、SecuronixによってSERPENTINE#CLOUDと名付けられました。攻撃は、支払いまたは請求書をテーマにしたフィッシングメールを送信することから始まり、ZIP形式の文書へのリンクが含まれています。この文書には、Windowsのショートカット(LNK)ファイルが含まれており、被害者を騙して開かせるように仕向けられています。
🔍 技術詳細
攻撃者は、クラウドフレアのトンネルインフラとPythonベースのローダーを使用して、メモリに注入されたペイロードを配信します。最初の感染は、LNKファイルが起動されることで始まり、次のステージのペイロードであるWindows Script File(WSF)がクラウドフレアトンネルのサブドメインからダウンロードされます。WSFファイルはcscript.exeを使用して実行され、被害者の疑念を引き起こすことなく、外部のバッチファイルを実行します。このバッチスクリプトは、PDF文書を表示し、ウイルス対策ソフトウェアをチェックし、Pythonペイロードをダウンロードして実行します。これにより、AsyncRATやRevenge RATなどのペイロードがメモリ内で実行されます。
⚠ 影響
このキャンペーンは、アメリカ、イギリス、ドイツ、そしてその他のヨーロッパやアジアの地域を標的にしています。攻撃者の正体は不明ですが、彼らの英語能力から、国際的な活動を行っている可能性があります。クラウドフレアのインフラを悪用することで、攻撃者は正当なクラウドサービスプロバイダーを利用することで検出を難しくしています。これにより、悪意のある活動と無害な活動を区別することが困難になり、URLやドメインベースのブロックメカニズムを回避することができます。
🛠 対策
このような攻撃から身を守るためには、ユーザー教育が重要です。フィッシングメールのリンクをクリックする前に、送信者の信頼性を確認することが必要です。また、最新のウイルス対策ソフトウェアを使用し、定期的にシステムをスキャンすることで、潜在的な脅威を早期に発見することができます。特に、LNKファイルやWSFファイルの実行には注意が必要であり、不審なファイルは絶対に開かないようにしましょう。さらに、ネットワークの監視を強化し、クラウドフレアトンネルのトラフィックを分析することで、異常な活動を早期に発見することが可能です。
