Ny Serpent-malware bruker uvanlige infiltrasjonstaktikker

Sikkerhetsforskere oppdaget en nylig kampanje for å spre en ny stamme av skadelig programvare som ble kalt Serpent. Verktøyene og metodene som brukes for å infiltrere ofrene, er det som skiller Serpent fra mer skadelig programvare for fotgjengere.

Et forskningsteam med sikkerhetsselskapet Proofpoint sporer skadevarekampanjen som sprer Serpent til mål i Frankrike. Teamet beskriver Serpent som "avansert" skadelig programvare som bruker uvanlige taktikker.

Serpent begynner å kjede seg, utvikler seg til det uvanlige

Serpent-malwaren spres ved hjelp av e-postlokker og skadelige filer fra hagetyper for å levere nyttelasten. Det er ikke her ting blir interessant. Men mellom tidspunktet for innledende penetrering og levering av den endelige nyttelasten, snurrer Serpent mye rundt for å unngå oppdagelse og bruker taktikker som forskere sier de ikke har møtt før.

Serpent starter infeksjonskjeden sin på en veldig hverdagslig måte - e-poster som inneholder lokker og ondsinnede vedlegg med VB-makroer. Den sosiale ingeniørkunsten som brukes i titler og brødtekst på ondsinnede e-poster, bruker EUs generelle databeskyttelsesforskrifter.

Når makroen kjøres, treffer den en URL som ser ut til å være et bilde, men bruker steganografi for å skjule et PowerShell-skript blant dataene. Skriptet er ytterligere kodet ved hjelp av base64.

Det første skriptet gjør er å laste ned og installere Chocolatey - et programvareautomatiseringsverktøy som kjører på Windows og brukes til å produsere innpakninger for kjørbare filer. Det er ingen ondsinnet nyttelast på dette tidspunktet - Chocolatey-nedlastingen er et legitimt verktøy som nesten helt sikkert vil omgå automatisert sikkerhet.

Chocolatey brukes til å installere Python og en spesifikk komponent kalt pip og brukes til pakkehåndtering. Det neste trinnet er å installere forskjellige avhengigheter på det målrettede systemet, inkludert en som tillater dataoverføring over proxy-servere.

Det samme PowerShell-skriptet treffer en annen bilde-URL, igjen ved å bruke steganografi for å skjule et Python-skript, igjen kodet i base64. Skriptet er navngitt for å etterligne en Microsoft-sikkerhetskomponent, som bærer navnet "MicrosoftSecurityUpdate.py". Python-skriptet kjøres i sin tur gjennom en batch-fil opprettet av det originale PowerShell-skriptet.

Skadevarens videre oppførsel er også mer konvensjonell, men den uvanlige taktikken og installasjonen av flere legitime verktøy for å lette leveringen av den endelige nyttelasten gjør Serpent bemerkelsesverdig. Den endelige nyttelasten er også et unikt nytt stykke skadelig programvare.