Serpent Backdoor Trojan
Expertos en ciberseguridad han descubierto una campaña de ataque altamente dirigida contra empresas francesas que operan en los sectores inmobiliario, de la construcción y gubernamental. Las operaciones amenazantes finalmente desplegaron una amenaza de puerta trasera previamente desconocida llamada Serpent Backdoor Trojan. Los detalles sobre el malware y la cadena de ataque fueron publicados en un informe de investigadores de seguridad.
Los objetivos de los actores de amenazas siguen siendo desconocidos, pero Serpent Backdoor puede realizar varias acciones intrusivas en las máquinas violadas. El troyano brinda acceso remoto al dispositivo, se comunica con un servidor de comando y control (C2, C&C) y se le puede indicar que realice el robo de datos o entregue cargas útiles adicionales corruptas.
Una cadena de ataque compleja
Según los hallazgos de los investigadores, Serpent Backdoor se entregó a los sistemas objetivo como el paso final en una cadena de ataque que involucró varias técnicas nuevas o raramente utilizadas. En primer lugar, los atacantes difundieron correos electrónicos señuelos que se hacían pasar por currículos laborales o documentos relacionados con el RGPD (Reglamento General de Protección de Datos de la UE) a las víctimas desprevenidas. Los correos electrónicos contenían un documento de Microsoft Word de cebo con macros comprometidas.
Al abrir el documento, se activa la macro, que procede a obtener un script de PowerShell codificado en base64. El guión se inyecta en una imagen mediante esteganografía. El script de PowerShell obtiene, instala y actualiza un paquete de instalación de Chocolatey. Esta es la primera vez que los investigadores observan el uso de la herramienta legítima de automatización de administración de software Chocolatey como parte de una campaña de ataque.
Chocolatey se usa para instalar Python en el dispositivo, incluido el instalador del paquete pip. A su vez, su tarea es instalar numerosas dependencias, como PySocks, que permite a los usuarios desviar el tráfico a través de SOCKS y servidores proxy HTTP. El siguiente paso, una vez más, implica la extracción de datos ocultos en una imagen mediante esteganografía. Esta vez, se extrae un script de Python y luego se guarda en la máquina de la víctima como MicrosoftSecurityUpdate.py. La cadena de ataque se completa después de que se ejecuta un comando que apunta a una URL abreviada que conduce al sitio web de ayuda de Microsoft Office.
