Ny Serpent Malware bruger usædvanlige infiltrationstaktikker

Sikkerhedsforskere opdagede en nylig kampagne for at sprede en ny stamme af malware, der fik navnet Serpent. De værktøjer og metoder, der bruges til at infiltrere dets ofre, er det, der adskiller Serpent fra mere fodgænger-malware.

Et forskerhold med sikkerhedsfirmaet Proofpoint sporer malware-kampagnen, der spreder Serpent til mål i Frankrig. Holdet beskriver Serpent som "avanceret" malware, der bruger usædvanlige taktikker.

Serpent begynder at kede sig, udvikler sig til det usædvanlige

Serpent-malwaren spredes ved hjælp af e-mail-lokker og ondsindede filer af forskellige haver til at levere dens nyttelast. Det er ikke her, tingene bliver interessante. Men mellem tidspunktet for den indledende gennemtrængning og leveringen af den endelige nyttelast, slanger Serpent sig meget rundt for at undgå opdagelse og bruger taktikker, som forskere siger, at de ikke har stødt på før.

Serpent starter sin infektionskæde på en meget banal måde - e-mails, der indeholder lokker og ondsindede vedhæftede filer med VB-makroer i dem. Den sociale manipulation, der bruges i titler og brødtekst på de ondsindede e-mails, bruger EU's generelle databeskyttelsesforordninger.

Når makroen udføres, rammer den en URL, der ser ud til at være et billede, men bruger steganografi til at skjule et PowerShell-script blandt dets data. Scriptet er yderligere kodet ved hjælp af base64.

Den første ting, scriptet gør, er at downloade og installere Chocolatey - et softwareautomatiseringsværktøj, der kører på Windows, der bruges til at producere indpakninger til eksekverbare filer. Der er ingen ondsindet nyttelast på dette tidspunkt - Chocolatey-downloaden er et legitimt værktøj, der næsten helt sikkert vil omgå automatiseret sikkerhed.

Chocolatey bruges til at installere Python og en specifik komponent kaldet pip og bruges til pakkehåndtering. Det næste trin er at installere forskellige afhængigheder på det målrettede system, herunder en, der giver mulighed for dataoverførsel via proxyservere.

Det samme PowerShell-script rammer en anden billed-URL, igen ved at bruge steganografi til at skjule et Python-script, igen kodet i base64. Scriptet er navngivet til at efterligne en Microsoft-sikkerhedskomponent, der bærer navnet "MicrosoftSecurityUpdate.py". Python-scriptet udføres igen gennem en batch-fil oprettet af det originale PowerShell-script.

Malwarens videre adfærd er også mere konventionel, men den usædvanlige taktik og installationen af adskillige legitime værktøjer til at lette leveringen af den endelige nyttelast gør Serpent bemærkelsesværdig. Den endelige nyttelast er også et unikt nyt stykke malware.