Neue Serpent-Malware verwendet ungewöhnliche Infiltrationstaktiken

Sicherheitsforscher entdeckten kürzlich eine Kampagne zur Verbreitung einer neuartigen Malware namens Serpent. Die Tools und Methoden, mit denen die Opfer infiltriert werden, unterscheiden Serpent von gewöhnlicherer Malware.

Ein Forschungsteam des Sicherheitsunternehmens Proofpoint verfolgt die Malware-Kampagne, die Serpent auf Ziele in Frankreich verbreitet. Das Team beschreibt Serpent als „fortgeschrittene“ Malware, die ungewöhnliche Taktiken anwendet.

Serpent beginnt langweilig, entwickelt sich zum Ungewöhnlichen

Die Serpent-Malware wird mithilfe von E-Mail-Ködern und schadhaften Dateien verbreitet, um ihre Payload zu übermitteln. Hier wird es nicht interessant. Zwischen dem ersten Eindringen und der Lieferung der endgültigen Nutzlast schlängelt sich Serpent jedoch viel herum, um einer Entdeckung zu entgehen, und wendet Taktiken an, von denen Forscher sagen, dass sie sie noch nie zuvor erlebt haben.

Serpent beginnt seine Infektionskette auf sehr banale Weise – E-Mails mit Ködern und böswilligen Anhängen mit VB-Makros darin. Der in Titel und Textkörper der bösartigen E-Mails verwendete Social-Engineering-Köder verwendet die Datenschutz-Grundverordnung der Europäischen Union.

Sobald das Makro ausgeführt wird, trifft es auf eine URL, die ein Bild zu sein scheint, aber Steganografie verwendet, um ein PowerShell-Skript zwischen seinen Daten zu verbergen. Das Skript wird weiter mit base64 codiert.

Das erste, was das Skript tut, ist Chocolatey herunterzuladen und zu installieren – ein Software-Automatisierungstool, das unter Windows läuft und verwendet wird, um Wrapper für ausführbare Dateien zu erstellen. An dieser Stelle gibt es keine böswillige Nutzlast – der Chocolatey-Download ist ein legitimes Tool, das mit ziemlicher Sicherheit die automatisierte Sicherheit umgehen wird.

Chocolatey wird verwendet, um Python und eine bestimmte Komponente namens pip zu installieren, die für die Paketverwaltung verwendet wird. Der nächste Schritt besteht darin, verschiedene Abhängigkeiten auf dem Zielsystem zu installieren, einschließlich einer, die die Datenübertragung über Proxyserver ermöglicht.

Dasselbe PowerShell-Skript trifft auf eine andere Bild-URL, wobei erneut Steganographie verwendet wird, um ein Python-Skript zu verbergen, das wiederum in Base64 codiert ist. Das Skript ist so benannt, dass es eine Microsoft-Sicherheitskomponente mit dem Namen „MicrosoftSecurityUpdate.py“ nachahmt. Das Python-Skript wird wiederum über eine Batchdatei ausgeführt, die vom ursprünglichen PowerShell-Skript erstellt wurde.

Das weitere Verhalten der Malware ist ebenfalls konventioneller, aber die ungewöhnlichen Taktiken und die Installation mehrerer legitimer Tools, um die Lieferung der endgültigen Nutzlast zu erleichtern, machen Serpent bemerkenswert. Die letzte Nutzlast ist auch eine einzigartige neue Malware.