Novo malware Serpent usa táticas de infiltração incomuns

Pesquisadores de segurança descobriram uma campanha recente para espalhar uma nova variedade de malware chamada Serpent. As ferramentas e métodos usados para se infiltrar em suas vítimas são o que diferencia o Serpent de um malware mais pedestre.

Uma equipe de pesquisa da empresa de segurança Proofpoint rastreia a campanha de malware espalhando Serpent para alvos na França. A equipe descreve o Serpent como um malware "avançado" que usa táticas incomuns.

Serpente começa chato, evolui para o incomum

O malware Serpent está sendo espalhado usando iscas de e-mail e arquivos maliciosos variados para entregar sua carga útil. Não é aqui que as coisas ficam interessantes. No entanto, entre o ponto de penetração inicial e a entrega da carga útil final, Serpent faz muito esforço para evitar a detecção e usa táticas que os pesquisadores dizem não ter encontrado antes.

Serpent inicia sua cadeia de infecção de uma maneira muito mundana - e-mails contendo iscas e anexos maliciosos com macros VB neles. A isca de engenharia social usada nos títulos e no corpo do texto dos e-mails maliciosos usa os Regulamentos Gerais de Proteção de Dados da União Europeia.

Depois que a macro é executada, ela atinge uma URL que parece ser uma imagem, mas usa esteganografia para ocultar um script do PowerShell entre seus dados. O script é ainda codificado usando base64.

A primeira coisa que o script faz é baixar e instalar o Chocolatey - uma ferramenta de automação de software em execução no Windows usada para produzir wrappers para arquivos executáveis. Não há carga maliciosa neste momento - o download do Chocolatey é uma ferramenta legítima que quase certamente ignorará a segurança automatizada.

Chocolatey é empregado para instalar o Python e um componente específico chamado pip e usado para gerenciamento de pacotes. A próxima etapa é instalar diferentes dependências no sistema de destino, incluindo uma que permita a transferência de dados por meio de servidores proxy.

O mesmo script do PowerShell atinge outra URL de imagem, mais uma vez usando esteganografia para ocultar um script Python, novamente codificado em base64. O script é nomeado para imitar um componente de segurança da Microsoft, com o nome "MicrosoftSecurityUpdate.py". O script Python, por sua vez, é executado por meio de um arquivo em lote criado pelo script original do PowerShell.

O comportamento adicional do malware também é mais convencional, mas as táticas inusitadas e a instalação de várias ferramentas legítimas para facilitar a entrega da carga útil final tornam o Serpent digno de nota. A carga útil final também é uma nova peça exclusiva de malware.