Новое вредоносное ПО Serpent использует необычную тактику проникновения

Исследователи безопасности обнаружили недавнюю кампанию по распространению нового штамма вредоносного ПО под названием Serpent. Инструменты и методы, используемые для проникновения в его жертвы, — это то, что отличает Serpent от других вредоносных программ.

Исследовательская группа совместно с охранной компанией Proofpoint отслеживает кампанию вредоносного ПО, распространяющую Serpent на цели во Франции. Команда описывает Serpent как «продвинутое» вредоносное ПО, использующее необычную тактику.

Змей становится скучным, превращается в необычного

Вредоносная программа Serpent распространяется с помощью электронной почты и разнообразных вредоносных файлов для доставки своей полезной нагрузки. Это не то место, где все становится интересным. Тем не менее, между точкой первоначального проникновения и доставкой конечной полезной нагрузки Serpent много петляет, чтобы избежать обнаружения, и использует тактику, с которой, по словам исследователей, они раньше не сталкивались.

Serpent начинает свою цепочку заражения очень обыденным образом — электронные письма, содержащие приманки и вредоносные вложения с макросами VB в них. Приманка социальной инженерии, используемая в заголовках и основном тексте вредоносных электронных писем, использует Общие правила защиты данных Европейского Союза.

Как только макрос выполняется, он попадает на URL-адрес, который выглядит как изображение, но использует стеганографию, чтобы скрыть сценарий PowerShell среди своих данных. Скрипт дополнительно кодируется с использованием base64.

Первое, что делает скрипт, это загружает и устанавливает Chocolatey — инструмент автоматизации программного обеспечения, работающий в Windows, используемый для создания оболочек для исполняемых файлов. На данный момент нет вредоносной полезной нагрузки — загрузка Chocolatey — это законный инструмент, который почти наверняка обойдёт автоматизированную систему безопасности.

Chocolatey используется для установки Python и специального компонента с именем pip и используется для управления пакетами. Следующим шагом является установка различных зависимостей на целевую систему, включая ту, которая позволяет передавать данные через прокси-серверы.

Тот же скрипт PowerShell обращается к другому URL-адресу изображения, снова используя стеганографию, чтобы скрыть скрипт Python, снова закодированный в base64. Сценарий назван так, чтобы имитировать компонент безопасности Microsoft, и носит имя «MicrosoftSecurityUpdate.py». Сценарий Python, в свою очередь, выполняется через пакетный файл, созданный исходным сценарием PowerShell.

Дальнейшее поведение зловреда также более традиционно, но необычная тактика и установка нескольких легитимных инструментов для облегчения доставки конечной полезной нагрузки делают Serpent достойным внимания. Последняя полезная нагрузка также представляет собой новое уникальное вредоносное ПО.