El nuevo malware Serpent utiliza tácticas de infiltración inusuales

Los investigadores de seguridad descubrieron una campaña reciente para propagar una nueva cepa de malware que se denominó Serpent. Las herramientas y los métodos utilizados para infiltrarse en sus víctimas son lo que distingue a Serpent de otros programas maliciosos comunes.

Un equipo de investigación de la empresa de seguridad Proofpoint rastrea la campaña de malware que propaga Serpent a objetivos en Francia. El equipo describe a Serpent como un malware "avanzado" que usa tácticas inusuales.

Serpent comienza aburrido, evoluciona a lo inusual

El malware Serpent se está propagando utilizando señuelos de correo electrónico y archivos maliciosos de variedad común para entregar su carga útil. Aquí no es donde las cosas se ponen interesantes. Sin embargo, entre el punto de penetración inicial y la entrega de la carga útil final, Serpent serpentea mucho para evitar ser detectado y usa tácticas que los investigadores dicen que no han encontrado antes.

Serpent comienza su cadena de infección de una manera muy mundana: correos electrónicos que contienen señuelos y archivos adjuntos maliciosos con macros de VB. El señuelo de ingeniería social utilizado en los títulos y el cuerpo del texto de los correos electrónicos maliciosos utiliza el Reglamento General de Protección de Datos de la Unión Europea.

Una vez que se ejecuta la macro, llega a una URL que parece ser una imagen pero usa esteganografía para ocultar un script de PowerShell entre sus datos. El script se codifica aún más usando base64.

Lo primero que hace el script es descargar e instalar Chocolatey, una herramienta de automatización de software que se ejecuta en Windows y se usa para producir contenedores para archivos ejecutables. No hay ninguna carga maliciosa en este punto: la descarga de Chocolatey es una herramienta legítima que casi con toda seguridad evitará la seguridad automatizada.

Chocolatey se emplea para instalar Python y un componente específico llamado pip y se utiliza para la gestión de paquetes. El siguiente paso es instalar diferentes dependencias en el sistema de destino, incluida una que permita la transferencia de datos a través de servidores proxy.

El mismo script de PowerShell llega a otra URL de imagen, una vez más usando esteganografía para ocultar un script de Python, nuevamente codificado en base64. El script se nombra para imitar un componente de seguridad de Microsoft, con el nombre "MicrosoftSecurityUpdate.py". El script de Python, a su vez, se ejecuta a través de un archivo por lotes creado por el script de PowerShell original.

El comportamiento posterior del malware también es más convencional, pero las tácticas inusuales y la instalación de varias herramientas legítimas para facilitar la entrega de la carga útil final hacen que Serpent destaque. La carga útil final también es una nueva pieza única de malware.