Το νέο κακόβουλο λογισμικό Serpent χρησιμοποιεί ασυνήθιστες τακτικές διείσδυσης

Ερευνητές ασφαλείας ανακάλυψαν μια πρόσφατη εκστρατεία για τη διάδοση ενός νέου τύπου κακόβουλου λογισμικού που ονομάστηκε Serpent. Τα εργαλεία και οι μέθοδοι που χρησιμοποιούνται για να διεισδύσουν στα θύματά του είναι αυτά που ξεχωρίζουν το Serpent από το πιο κακόβουλο λογισμικό για πεζούς.

Μια ερευνητική ομάδα με την εταιρεία ασφαλείας Proofpoint παρακολουθεί την εκστρατεία κακόβουλου λογισμικού που εξαπλώνει το Serpent σε στόχους στη Γαλλία. Η ομάδα περιγράφει το Serpent ως "προηγμένο" κακόβουλο λογισμικό που χρησιμοποιεί ασυνήθιστες τακτικές.

Ο Serpent αρχίζει να βαριέται, εξελίσσεται στο ασυνήθιστο

Το κακόβουλο λογισμικό Serpent εξαπλώνεται χρησιμοποιώντας δέλεαρ email και κακόβουλα αρχεία ποικιλίας κήπου για την παράδοση του ωφέλιμου φορτίου του. Δεν είναι εδώ που τα πράγματα γίνονται ενδιαφέροντα. Ωστόσο, μεταξύ του σημείου της αρχικής διείσδυσης και της παράδοσης του τελικού ωφέλιμου φορτίου, ο Serpent κάνει πολλά τσιμπήματα για να αποφύγει τον εντοπισμό και χρησιμοποιεί τακτικές που οι ερευνητές λένε ότι δεν έχουν συναντήσει πριν.

Το Serpent ξεκινά την αλυσίδα μόλυνσης του με έναν πολύ κοσμικό τρόπο - email που περιέχουν θέλγητρα και κακόβουλα συνημμένα με μακροεντολές VB σε αυτά. Το δέλεαρ κοινωνικής μηχανικής που χρησιμοποιείται στους τίτλους και το κύριο κείμενο των κακόβουλων email χρησιμοποιεί τους Γενικούς Κανονισμούς Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης.

Μόλις εκτελεστεί η μακροεντολή, χτυπά μια διεύθυνση URL που φαίνεται να είναι εικόνα αλλά χρησιμοποιεί steganography για να κρύψει ένα σενάριο PowerShell ανάμεσα στα δεδομένα της. Το σενάριο κωδικοποιείται περαιτέρω χρησιμοποιώντας το base64.

Το πρώτο πράγμα που κάνει το σενάριο είναι να κατεβάσει και να εγκαταστήσει το Chocolatey - ένα εργαλείο αυτοματισμού λογισμικού που εκτελείται σε Windows και χρησιμοποιείται για την παραγωγή περιτυλίξεων για εκτελέσιμα αρχεία. Δεν υπάρχει κακόβουλο ωφέλιμο φορτίο σε αυτό το σημείο - η λήψη Chocolatey είναι ένα νόμιμο εργαλείο που σχεδόν σίγουρα θα παρακάμψει την αυτοματοποιημένη ασφάλεια.

Το Chocolatey χρησιμοποιείται για την εγκατάσταση της Python και ενός συγκεκριμένου στοιχείου που ονομάζεται pip και χρησιμοποιείται για τη διαχείριση πακέτων. Το επόμενο βήμα είναι να εγκαταστήσετε διαφορετικές εξαρτήσεις στο στοχευμένο σύστημα, συμπεριλαμβανομένης μιας που επιτρέπει τη μεταφορά δεδομένων μέσω διακομιστών μεσολάβησης.

Το ίδιο σενάριο PowerShell χτυπά μια άλλη διεύθυνση URL εικόνας, χρησιμοποιώντας για άλλη μια φορά steganography για να κρύψει ένα σενάριο Python, και πάλι κωδικοποιημένο στο base64. Το σενάριο ονομάζεται έτσι ώστε να μιμείται ένα στοιχείο ασφαλείας της Microsoft, που φέρει το όνομα "MicrosoftSecurityUpdate.py". Το σενάριο Python εκτελείται με τη σειρά του μέσω ενός αρχείου δέσμης που δημιουργήθηκε από το αρχικό σενάριο PowerShell.

Η περαιτέρω συμπεριφορά του κακόβουλου λογισμικού είναι επίσης πιο συμβατική, αλλά οι ασυνήθιστες τακτικές και η εγκατάσταση αρκετών νόμιμων εργαλείων για τη διευκόλυνση της παράδοσης του τελικού ωφέλιμου φορτίου κάνουν το Serpent αξιοσημείωτο. Το τελικό ωφέλιμο φορτίο είναι επίσης ένα μοναδικό νέο κομμάτι κακόβουλου λογισμικού.