新しい蛇のマルウェアは異常な浸透戦術を使用しています

セキュリティ研究者は、Serpentという名前のマルウェアの新しい株を広めるための最近のキャンペーンを発見しました。被害者に侵入するために使用されるツールと方法は、Serpentをより歩行者向けのマルウェアと区別するものです。

セキュリティ会社Proofpointの調査チームは、Serpentをフランスのターゲットに拡散するマルウェアキャンペーンを追跡しています。チームは、Serpentを異常な戦術を使用する「高度な」マルウェアとして説明しています。

蛇は退屈になり始め、珍しいものに進化します

Serpentマルウェアは、電子メールのルアーとさまざまな悪意のあるファイルを使用して拡散し、ペイロードを配信しています。これは物事が面白くなる場所ではありません。ただし、最初の侵入から最終的なペイロードの配信までの間、Serpentは検出を回避するために多くの蛇行を行い、研究者がこれまでに遭遇したことのない戦術を使用します。

Serpentは、非常にありふれた方法で感染チェーンを開始します。ルアーと悪意のある添付ファイルを含む電子メールにVBマクロが含まれています。悪意のある電子メールのタイトルと本文に使用されているソーシャルエンジニアリングの誘惑は、欧州連合の一般データ保護規則を使用しています。

マクロが実行されると、画像のように見えるURLにヒットしますが、ステガノグラフィを使用してデータ内でPowerShellスクリプトを非表示にします。スクリプトは、base64を使用してさらにエンコードされます。

スクリプトが最初に行うことは、実行可能ファイルのラッパーを生成するために使用されるWindows上で実行されるソフトウェア自動化ツールであるChocolateyをダウンロードしてインストールすることです。この時点では悪意のあるペイロードはありません。Chocolateyのダウンロードは、ほぼ確実に自動セキュリティをバイパスする正当なツールです。

Chocolateyは、Pythonとpipという名前の特定のコンポーネントをインストールするために使用され、パッケージ管理に使用されます。次のステップは、プロキシサーバーを介したデータ転送を可能にするものを含め、ターゲットシステムにさまざまな依存関係をインストールすることです。

同じPowerShellスクリプトが別の画像URLにヒットし、再びステガノグラフィを使用してPythonスクリプトを非表示にし、base64でエンコードします。このスクリプトは、「MicrosoftSecurityUpdate.py」という名前のMicrosoftセキュリティコンポーネントを模倣する名前が付けられています。 Pythonスクリプトは、元のPowerShellスクリプトによって作成されたバッチファイルを介して実行されます。

マルウェアのさらなる動作もより一般的ですが、通常とは異なる戦術と、最終的なペイロードの配信を容易にするためのいくつかの正当なツールのインストールにより、Serpentは注目に値します。最終的なペイロードも、ユニークな新しいマルウェアです。