新的 Serpent 恶意软件使用不寻常的渗透策略

安全研究人员发现了最近一次传播一种名为 Serpent 的新型恶意软件的活动。用于渗透其受害者的工具和方法使 Serpent 与更多的普通恶意软件区分开来。

安全公司 Proofpoint 的一个研究团队跟踪将 Serpent 传播到法国目标的恶意软件活动。该团队将 Serpent 描述为使用不寻常策略的“高级”恶意软件。

蛇开始无聊，演变成不寻常的

Serpent 恶意软件正在使用电子邮件诱饵和普通恶意文件进行传播，以传递其有效负载。这不是事情变得有趣的地方。然而，在最初的穿透点和交付最终有效载荷之间，Serpent 会进行大量的绕行以避免被发现，并使用研究人员表示他们以前从未遇到过的策略。

Serpent 以一种非常普通的方式开始其感染链 - 包含诱饵和恶意附件的电子邮件，其中包含 VB 宏。恶意电子邮件的标题和正文中使用的社会工程诱饵使用欧盟通用数据保护条例。

宏执行后，它会点击一个看似图像但使用隐写术在其数据中隐藏 PowerShell 脚本的 URL。该脚本使用 base64 进一步编码。

该脚本所做的第一件事是下载并安装 Chocolatey - 一种在 Windows 上运行的软件自动化工具，用于生成可执行文件的包装器。此时没有恶意负载 - Chocolatey 下载是一个合法工具，几乎可以肯定会绕过自动安全性。

Chocolatey 用于安装 Python 和一个名为 pip 的特定组件，用于包管理。下一步是在目标系统上安装不同的依赖项，包括允许通过代理服务器传输数据的依赖项。

相同的 PowerShell 脚本命中另一个图像 URL，再次使用隐写术隐藏 Python 脚本，再次以 base64 编码。该脚本被命名为模仿 Microsoft 安全组件，名称为“MicrosoftSecurityUpdate.py”。 Python 脚本依次通过原始 PowerShell 脚本创建的批处理文件执行。

恶意软件的进一步行为也更传统，但不寻常的策略和安装几个合法工具以促进最终有效载荷的交付使 Serpent 值得注意。最终的有效载荷也是一种独特的新恶意软件。