New Serpent Malware använder ovanlig infiltrationstaktik
Säkerhetsforskare upptäckte en nyligen genomförd kampanj för att sprida en ny stam av skadlig programvara som fick namnet Serpent. Verktygen och metoderna som används för att infiltrera dess offer är det som skiljer Serpent från mer skadlig programvara för fotgängare.
Ett forskarteam med säkerhetsföretaget Proofpoint spårar skadlig programvara som sprider Serpent till mål i Frankrike. Teamet beskriver Serpent som "avancerad" skadlig programvara som använder ovanlig taktik.
Orm börjar tråkigt, utvecklas till det ovanliga
Serpent skadlig kod sprids med hjälp av e-postbeten och skadliga filer från trädgårdsvarianter för att leverera dess nyttolast. Det är inte där saker och ting blir intressanta. Men mellan punkten för initial penetration och leverans av den slutliga nyttolasten, slingrar sig Serpent mycket för att undvika upptäckt och använder sig av taktik som forskare säger att de inte har stött på tidigare.
Serpent startar sin infektionskedja på ett mycket vardagligt sätt - e-postmeddelanden som innehåller beten och skadliga bilagor med VB-makron i dem. Den sociala ingenjörskonsten som används i rubriker och brödtext i de skadliga e-postmeddelandena använder Europeiska unionens allmänna dataskyddsförordningar.
När makrot körs träffar det en URL som verkar vara en bild men använder steganografi för att dölja ett PowerShell-skript bland dess data. Skriptet kodas ytterligare med base64.
Det första skriptet gör är att ladda ner och installera Chocolatey - ett automatiseringsverktyg som körs på Windows och används för att producera omslag för körbara filer. Det finns ingen skadlig nyttolast vid denna tidpunkt - Chocolatey-nedladdningen är ett legitimt verktyg som nästan säkert kommer att kringgå automatiserad säkerhet.
Chocolatey används för att installera Python och en specifik komponent som heter pip och används för pakethantering. Nästa steg är att installera olika beroenden på det riktade systemet, inklusive ett som tillåter dataöverföring över proxyservrar.
Samma PowerShell-skript träffar en annan bild-URL, återigen använder steganografi för att dölja ett Python-skript, återigen kodat i base64. Skriptet är namngivet för att efterlikna en Microsoft-säkerhetskomponent, som bär namnet "MicrosoftSecurityUpdate.py". Python-skriptet exekveras i sin tur genom en batchfil skapad av det ursprungliga PowerShell-skriptet.
Skadlig programvaras ytterligare beteende är också mer konventionellt, men den ovanliga taktiken och installationen av flera legitima verktyg för att underlätta leveransen av den slutliga nyttolasten gör Serpent anmärkningsvärt. Den slutliga nyttolasten är också en unik ny skadlig programvara.
