Wężowy trojan atakuje francuskich użytkowników i instytucje

Trojan Serpent Backdoor to złośliwe oprogramowanie, które ostatnio zaobserwowano, atakując firmy i instytucje z siedzibą we Francji. Przestępcy kontaktowali się ze swoimi ofiarami za pomocą wiadomości phishingowych, które miały wyglądać tak, jakby zostały wysłane przez kogoś, kto chce ubiegać się o wolne stanowisko. Oczywiście do takich wiadomości dołączony jest jakiś dokument, na przykład CV. Jednak wiadomości spamowe nie zawierały bezpiecznego dokumentu — zamiast tego dostarczały plik Microsoft Word zawierający makro, który może wdrożyć trojana Serpent Backdoor.

Złośliwe makro wykonuje zaszyfrowany skrypt PowerShell, który pobiera ładunek trojana Serpent Backdoor i uruchamia go w tle. Głównym celem trojana jest zapewnienie operatorom zdalnego dostępu do zainfekowanego systemu, a także rozprzestrzenienie się na boki w sieci. Najlepszym sposobem przeciwdziałania takim atakom jest użycie renomowanego oprogramowania antywirusowego i zapory ogniowej, a także poinstruowanie pracowników, aby zachowali szczególną ostrożność podczas przeglądania losowych, nieoczekiwanych załączników do wiadomości e-mail.

Oddzielna kampania spamowa dostarczająca trojana Serpent Backdoor opiera się na steganografii. Oznacza to, że hakerom udało się zmodyfikować obrazy w celu wstrzyknięcia do nich złośliwego kodu, który następnie mógł zostać odszyfrowany i wykonany przez skrypt towarzyszący plikowi obrazu. Wygląda na to, że trojan koncentruje się przede wszystkim na zapewnieniu przestępcom zdalnej kontroli nad zainfekowanym systemem. Po przejęciu kontroli używają podwyższonych uprawnień do przechwytywania informacji, umieszczania dodatkowego złośliwego oprogramowania lub szpiegowania ofiar. Podejrzewamy, że cyberszpiegostwo i kradzież danych mogą być głównymi celami gangu stojącego za trojanem Serpent Backdoor