Serpent Trojan riktar sig till franska användare och institutioner

Serpent Backdoor Trojan är ett stycke skadlig programvara som nyligen observerades attackera företag och institutioner baserade i Frankrike. Brottslingarna närmade sig sina offer genom nätfiske-e-postmeddelanden, som var utformade för att se ut som om de skickades av någon som vill söka en ledig tjänst. Naturligtvis innehåller sådana meddelanden någon form av dokument bifogat, som ett CV. Men skräppostmeddelandena levererade inte ett säkert dokument – i stället levererade de en makrospetsad Microsoft Word-fil som kan distribuera Serpent Backdoor Trojan.

Det skadliga makrot exekverar ett kodat PowerShell-skript, som hämtar Serpent Backdoor Trojan nyttolasten och kör den i bakgrunden. Trojanens primära mål är att ge sina operatörer fjärråtkomst till det infekterade systemet, samt att spridas i sidled över nätverket. Det bästa sättet att motverka sådana attacker är att använda välrenommerade antivirus- och brandväggsprogram, samt att instruera anställda att vara extra försiktiga när de granskar slumpmässiga, oväntade e-postbilagor.

En separat skräppostkampanj som levererar Serpent Backdoor Trojan bygger på steganografi. Det betyder att hackarna hade lyckats modifiera bilder för att injicera skadlig kod i dem, som sedan kunde avkodas och exekveras av ett skript som åtföljde bildfilen. Det verkar som om trojanens primära fokus är att ge brottslingarna fjärrkontroll över det infekterade systemet. När de väl har kontroll använder de de förhöjda behörigheterna för att kapa information, plantera ytterligare skadlig programvara eller för att spionera på offer. Vi misstänker att cyberspionage och datastöld kan vara de primära målen för gänget bakom Serpent Backdoor Trojan