Il nuovo malware Serpent utilizza tattiche di infiltrazione insolite

I ricercatori della sicurezza hanno scoperto una recente campagna per diffondere un nuovo ceppo di malware chiamato Serpent. Gli strumenti e i metodi utilizzati per infiltrarsi nelle sue vittime sono ciò che distingue Serpent da altri malware pedonali.

Un team di ricerca con la società di sicurezza Proofpoint tiene traccia della campagna di malware che ha diffuso Serpent a obiettivi in Francia. Il team descrive Serpent come un malware "avanzato" che utilizza tattiche insolite.

Il serpente inizia a noioso, si evolve nell'insolito

Il malware Serpent viene diffuso utilizzando esche e-mail e file dannosi di varietà da giardino per fornire il suo carico utile. Non è qui che le cose si fanno interessanti. Tuttavia, tra il punto di penetrazione iniziale e la consegna del carico utile finale, Serpent si aggira molto per evitare il rilevamento e usa tattiche che i ricercatori affermano di non aver mai incontrato prima.

Serpent avvia la sua catena di infezione in un modo molto banale: e-mail contenenti esche e allegati dannosi con macro VB al loro interno. L'esca di ingegneria sociale utilizzata nei titoli e nel corpo del testo delle e-mail dannose utilizza i regolamenti generali sulla protezione dei dati dell'Unione europea.

Una volta eseguita, la macro raggiunge un URL che sembra essere un'immagine ma utilizza la steganografia per nascondere uno script di PowerShell tra i suoi dati. Lo script è ulteriormente codificato utilizzando base64.

La prima cosa che fa lo script è scaricare e installare Chocolatey, uno strumento di automazione del software in esecuzione su Windows utilizzato per produrre wrapper per file eseguibili. Non ci sono payload dannosi a questo punto: il download di Chocolatey è uno strumento legittimo che quasi sicuramente aggirerà la sicurezza automatizzata.

Chocolatey viene impiegato per installare Python e un componente specifico chiamato pip e utilizzato per la gestione dei pacchetti. Il passaggio successivo consiste nell'installare diverse dipendenze sul sistema di destinazione, inclusa una che consente il trasferimento dei dati su server proxy.

Lo stesso script di PowerShell raggiunge un altro URL immagine, ancora una volta utilizzando la steganografia per nascondere uno script Python, ancora una volta codificato in base64. Lo script è chiamato per imitare un componente di sicurezza Microsoft, con il nome "MicrosoftSecurityUpdate.py". Lo script Python viene a sua volta eseguito tramite un file batch creato dallo script PowerShell originale.

Anche l'ulteriore comportamento del malware è più convenzionale, ma le tattiche insolite e l'installazione di diversi strumenti legittimi per facilitare la consegna del payload finale rendono Serpent degno di nota. Il payload finale è anche un nuovo pezzo unico di malware.