Nowe złośliwe oprogramowanie Serpent wykorzystuje nietypowe taktyki infiltracji

Badacze bezpieczeństwa odkryli niedawną kampanię mającą na celu rozprzestrzenianie nowego szczepu złośliwego oprogramowania o nazwie Serpent. Narzędzia i metody wykorzystywane do infiltracji ofiar są tym, co odróżnia Serpenta od bardziej zwykłego złośliwego oprogramowania.

Zespół badawczy wraz z firmą zajmującą się bezpieczeństwem Proofpoint śledzi kampanię złośliwego oprogramowania rozprzestrzeniającą Serpenta na cele we Francji. Zespół opisuje Serpenta jako „zaawansowane” złośliwe oprogramowanie, które wykorzystuje nietypowe taktyki.

Wąż zaczyna się nudzić, ewoluuje w niezwykłą

Złośliwe oprogramowanie Serpent rozprzestrzenia się za pomocą przynęt e-mail i złośliwych plików różnego rodzaju, aby dostarczyć swój ładunek. To nie jest miejsce, w którym sprawy stają się interesujące. Jednak pomiędzy punktem początkowej penetracji a dostarczeniem ostatecznego ładunku, Serpent dużo kręci, aby uniknąć wykrycia i stosuje taktyki, których naukowcy nie mieli wcześniej do czynienia.

Serpent rozpoczyna swój łańcuch infekcji w bardzo przyziemny sposób - e-maile zawierające przynęty i złośliwe załączniki z makrami VB. Socjotechnika użyta w tytułach i treściach złośliwych wiadomości e-mail wykorzystuje Ogólne przepisy o ochronie danych Unii Europejskiej.

Po wykonaniu makra trafia na adres URL, który wydaje się być obrazem, ale używa steganografii do ukrycia skryptu PowerShell wśród swoich danych. Skrypt jest dalej kodowany przy użyciu base64.

Pierwszą rzeczą, jaką robi skrypt, jest pobranie i zainstalowanie Chocolatey - narzędzia do automatyzacji oprogramowania działającego w systemie Windows, używanego do tworzenia opakowań dla plików wykonywalnych. W tym momencie nie ma szkodliwego ładunku — pobieranie Chocolatey jest legalnym narzędziem, które prawie na pewno ominie automatyczne zabezpieczenia.

Chocolatey służy do instalacji Pythona i określonego komponentu o nazwie pip i służy do zarządzania pakietami. Kolejnym krokiem jest zainstalowanie różnych zależności na docelowym systemie, w tym takiej, która umożliwia przesyłanie danych przez serwery proxy.

Ten sam skrypt PowerShell trafia na inny adres URL obrazu, po raz kolejny używając steganografii do ukrycia skryptu Pythona, ponownie zakodowanego w base64. Nazwa skryptu ma naśladować składnik zabezpieczeń firmy Microsoft o nazwie „MicrosoftSecurityUpdate.py”. Skrypt Pythona jest z kolei wykonywany za pomocą pliku wsadowego utworzonego przez oryginalny skrypt PowerShell.

Dalsze zachowanie szkodliwego oprogramowania jest również bardziej konwencjonalne, ale niezwykła taktyka i instalacja kilku legalnych narzędzi ułatwiających dostarczenie ostatecznej zawartości sprawiają, że Serpent jest godny uwagi. Ostateczny ładunek to także nowy, unikalny kawałek złośliwego oprogramowania.