Nieuwe Serpent-malware gebruikt ongebruikelijke infiltratietactieken

Beveiligingsonderzoekers ontdekten een recente campagne om een nieuwe vorm van malware te verspreiden, genaamd Serpent. De tools en methoden die worden gebruikt om zijn slachtoffers te infiltreren, onderscheiden Serpent van meer voetgangers-malware.

Een onderzoeksteam met beveiligingsbedrijf Proofpoint volgt de malwarecampagne die Serpent naar doelen in Frankrijk verspreidt. Het team beschrijft Serpent als "geavanceerde" malware die ongebruikelijke tactieken gebruikt.

Slang begint saai te worden, evolueert naar het ongewone

De Serpent-malware wordt verspreid met behulp van e-maillokmiddelen en kwaadaardige bestanden uit de tuin om zijn nuttige lading af te leveren. Dit is niet waar dingen interessant worden. Tussen het moment van eerste penetratie en het leveren van de uiteindelijke lading, kronkelt Serpent echter veel rond om detectie te voorkomen en gebruikt hij tactieken die onderzoekers zeggen dat ze nog niet eerder zijn tegengekomen.

Serpent begint zijn infectieketen op een heel alledaagse manier - e-mails met kunstaas en kwaadaardige bijlagen met VB-macro's erin. Het social engineering-lokmiddel dat wordt gebruikt in titels en hoofdtekst van de kwaadaardige e-mails, maakt gebruik van de Algemene Verordening Gegevensbescherming van de Europese Unie.

Zodra de macro wordt uitgevoerd, raakt deze een URL die een afbeelding lijkt te zijn, maar steganografie gebruikt om een PowerShell-script tussen de gegevens te verbergen. Het script wordt verder gecodeerd met base64.

Het eerste dat het script doet, is het downloaden en installeren van Chocolatey - een software-automatiseringstool die op Windows draait en wordt gebruikt om wrappers voor uitvoerbare bestanden te maken. Er is op dit moment geen kwaadaardige lading - de Chocolatey-download is een legitieme tool die vrijwel zeker geautomatiseerde beveiliging zal omzeilen.

Chocolatey wordt gebruikt om Python en een specifiek onderdeel met de naam pip te installeren en wordt gebruikt voor pakketbeheer. De volgende stap is het installeren van verschillende afhankelijkheden op het beoogde systeem, waaronder een systeem dat gegevensoverdracht via proxyservers mogelijk maakt.

Hetzelfde PowerShell-script raakt een andere afbeeldings-URL, opnieuw met behulp van steganografie om een Python-script te verbergen, opnieuw gecodeerd in base64. Het script is genoemd om een Microsoft-beveiligingscomponent na te bootsen, met de naam "MicrosoftSecurityUpdate.py". Het Python-script wordt op zijn beurt uitgevoerd via een batchbestand dat is gemaakt door het oorspronkelijke PowerShell-script.

Het verdere gedrag van de malware is ook conventioneler, maar de ongebruikelijke tactieken en de installatie van verschillende legitieme tools om de levering van de uiteindelijke payload te vergemakkelijken, maken Serpent opmerkelijk. De uiteindelijke payload is ook een uniek nieuw stukje malware.