Serpent Trojan richt zich op Franse gebruikers en instellingen
De Serpent Backdoor Trojan is een stukje malware dat onlangs werd waargenomen bij het aanvallen van bedrijven en instellingen in Frankrijk. De criminelen benaderden hun slachtoffers via phishing-e-mails, die zo waren gemaakt dat ze eruitzagen alsof ze waren verzonden door iemand die wil solliciteren naar een openstaande functie. Uiteraard bevatten dergelijke berichten een soort document als bijlage, zoals een cv. De spamberichten leverden echter geen veilig document op - in plaats daarvan leverden ze een macro-geregen Microsoft Word-bestand dat de Serpent Backdoor Trojan kan inzetten.
De kwaadaardige macro voert een gecodeerd PowerShell-script uit, dat de payload van de Serpent Backdoor Trojan ophaalt en op de achtergrond uitvoert. Het primaire doel van de trojan is om zijn operators externe toegang tot het geïnfecteerde systeem te geven en om zich lateraal over het netwerk te verspreiden. De beste manier om dergelijke aanvallen tegen te gaan, is door gerenommeerde antivirus- en firewallsoftware te gebruiken en medewerkers te instrueren extra voorzichtig te zijn bij het bekijken van willekeurige, onverwachte e-mailbijlagen.
Een afzonderlijke spamcampagne die de Serpent Backdoor Trojan levert, is gebaseerd op steganografie. Dit betekent dat de hackers erin waren geslaagd om afbeeldingen te wijzigen om er kwaadaardige code in te injecteren, die vervolgens kon worden gedecodeerd en uitgevoerd door een script dat bij het afbeeldingsbestand was gevoegd. Het lijkt erop dat de primaire focus van de Trojan is om de criminelen afstandsbediening te geven over het geïnfecteerde systeem. Zodra ze de controle hebben, gebruiken ze de verhoogde rechten om informatie te kapen, extra malware te installeren of om slachtoffers te bespioneren. We vermoeden dat cyberspionage en gegevensdiefstal de primaire doelen kunnen zijn van de bende achter de Serpent Backdoor Trojan
