Az új Serpent malware szokatlan behatolási taktikát alkalmaz

Biztonsági kutatók felfedeztek egy kampányt a közelmúltban a rosszindulatú programok egy új törzsének, a Serpentnek a terjesztésére. Az áldozatok beszivárgására használt eszközök és módszerek különböztetik meg a Serpentet a gyalogosok által okozott kártevőktől.

A Proofpoint biztonsági céggel közös kutatócsoport nyomon követi a Serpent franciaországi célpontokra terjesztő kártevő-kampányát. A csapat a Serpent "fejlett" rosszindulatú programként írja le, amely szokatlan taktikát alkalmaz.

A kígyó unalmassá válik, szokatlanná fejlődik

A Serpent rosszindulatú programot e-mailes csalikkal és különféle kerti rosszindulatú fájlokkal terjesztik a rakomány eljuttatására. A dolgok nem itt válnak érdekessé. A kezdeti behatolás és a végső hasznos teher leadása között azonban a Serpent sokat kígyózik, hogy elkerülje az észlelést, és olyan taktikát alkalmaz, amellyel a kutatók szerint még nem találkoztak.

A Serpent nagyon hétköznapi módon indítja el fertőzési láncát – csalikat és rosszindulatú mellékleteket tartalmazó e-maileket VB makróval. A rosszindulatú e-mailek címében és törzsszövegében használt social engineering csali az Európai Unió Általános Adatvédelmi Szabályzatát használja.

A makró végrehajtása után eltalál egy URL-t, amely képnek tűnik, de szteganográfia segítségével elrejti a PowerShell-szkriptet az adatok között. A szkript tovább van kódolva a base64 használatával.

A szkript első dolga a Chocolatey letöltése és telepítése – egy Windows rendszeren futó szoftver-automatizálási eszköz, amely a futtatható fájlok burkolóinak előállítására szolgál. Jelenleg nincs rosszindulatú rakomány – a Chocolatey letöltése legitim eszköz, amely szinte biztosan megkerüli az automatizált biztonságot.

A Chocolatey a Python és egy speciális, pip nevű összetevő telepítésére szolgál, és csomagkezelésre szolgál. A következő lépés különböző függőségek telepítése a megcélzott rendszerre, beleértve azt is, amely lehetővé teszi a proxyszervereken keresztüli adatátvitelt.

Ugyanez a PowerShell-szkript egy másik kép URL-jét éri el, ismét szteganográfiával elrejtve egy Python-szkriptet, amely ismét base64-be van kódolva. A parancsfájl elnevezése a Microsoft biztonsági összetevőjét utánozza, és a „MicrosoftSecurityUpdate.py” nevet viseli. A Python-szkriptet az eredeti PowerShell-szkript által létrehozott kötegfájlon keresztül hajtják végre.

A kártevő további viselkedése is hagyományosabb, de a szokatlan taktika és több legitim eszköz telepítése a végső rakomány kézbesítését megkönnyíti, figyelemre méltó a Serpent. A végső rakomány is egy új, egyedülálló rosszindulatú program.