Le nouveau logiciel malveillant Serpent utilise des tactiques d'infiltration inhabituelles

Les chercheurs en sécurité ont découvert une récente campagne visant à diffuser une nouvelle souche de malware nommée Serpent. Les outils et les méthodes utilisés pour infiltrer ses victimes sont ce qui distingue Serpent des logiciels malveillants plus piétons.

Une équipe de recherche de la société de sécurité Proofpoint suit la campagne de logiciels malveillants diffusant Serpent sur des cibles en France. L'équipe décrit Serpent comme un logiciel malveillant "avancé" qui utilise des tactiques inhabituelles.

Serpent commence ennuyeux, évolue vers l'inhabituel

Le logiciel malveillant Serpent se propage à l'aide de leurres par e-mail et de fichiers malveillants de toutes sortes pour fournir sa charge utile. Ce n'est pas là que les choses deviennent intéressantes. Cependant, entre le point de pénétration initial et la livraison de la charge utile finale, Serpent fait beaucoup de serpents pour éviter d'être détecté et utilise des tactiques que les chercheurs disent n'avoir jamais rencontrées auparavant.

Serpent démarre sa chaîne d'infection d'une manière très banale - des e-mails contenant des leurres et des pièces jointes malveillantes contenant des macros VB. Le leurre d'ingénierie sociale utilisé dans les titres et le corps du texte des e-mails malveillants utilise le Règlement général sur la protection des données de l'Union européenne.

Une fois la macro exécutée, elle atteint une URL qui semble être une image mais utilise la stéganographie pour masquer un script PowerShell parmi ses données. Le script est encodé en utilisant base64.

La première chose que fait le script est de télécharger et d'installer Chocolatey - un outil d'automatisation de logiciel fonctionnant sous Windows utilisé pour produire des wrappers pour les fichiers exécutables. Il n'y a pas de charge utile malveillante à ce stade - le téléchargement de Chocolatey est un outil légitime qui contournera presque certainement la sécurité automatisée.

Chocolatey est utilisé pour installer Python et un composant spécifique nommé pip et utilisé pour la gestion des packages. L'étape suivante consiste à installer différentes dépendances sur le système ciblé, dont une qui permet le transfert de données sur des serveurs proxy.

Le même script PowerShell atteint une autre URL d'image, utilisant à nouveau la stéganographie pour masquer un script Python, à nouveau encodé en base64. Le script est nommé pour imiter un composant de sécurité Microsoft, portant le nom "MicrosoftSecurityUpdate.py". Le script Python est à son tour exécuté via un fichier batch créé par le script PowerShell d'origine.

Le comportement ultérieur du logiciel malveillant est également plus conventionnel, mais les tactiques inhabituelles et l'installation de plusieurs outils légitimes pour faciliter la livraison de la charge utile finale rendent Serpent remarquable. La charge utile finale est également un nouveau malware unique.