Μία νέα καμπάνια phishing κάνει κατάχρηση του δημοφιλούς διαχειριστή πακέτων Chocolatey Windows, για την εγκατάσταση ενός νέου κακόβουλου λογισμικού backdoor που ονομάζεται «Serpent» σε συστήματα γαλλικών κυβερνητικών υπηρεσιών και μεγάλων κατασκευαστικών εταιρειών.
Δείτε επίσης: Ελάττωμα zero-day των Windows παραμένει χωρίς επιδιόρθωση
Το Chocolatey είναι ένας διαχειριστής πακέτων ανοιχτού κώδικα για Windows, που επιτρέπει στους χρήστες να εγκαταστήσουν και να διαχειρίζονται περισσότερες από 9.000 εφαρμογές και τυχόν εξαρτήσεις μέσω της γραμμής εντολών.
Σε μια νέα καμπάνια phishing που ονομάζεται Serpent και ανακαλύφθηκε από την Proofpoint, οι φορείς απειλών χρησιμοποιούν μια περίπλοκη αλυσίδα μόλυνσης που αποτελείται από έγγραφα του Microsoft Word με μακροεντολές, τον διαχειριστή πακέτων Chocolatey και εικόνες για να μολύνουν συσκευές παρακάμπτοντας τον εντοπισμό.
Η νέα εκστρατεία phishing στοχεύει γαλλικούς οργανισμούς στον κατασκευαστικό κλάδο, την ακίνητη περιουσία και τις κρατικές βιομηχανίες.
Η επίθεση Serpent, ξεκινά με ένα ηλεκτρονικό μήνυμα που υποδύεται τον Οργανισμό Γενικών Κανονισμών Προστασίας Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης. Αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου περιλαμβάνει ένα συνημμένο έγγραφο Word που περιέχει κακόβουλο κώδικα.
Δείτε ακόμα: BitRAT malware: Εμφανίζεται ως Windows 10 license activator και μολύνει χρήστες
Εάν ανοίξει και το περιεχόμενο είναι ενεργοποιημένο, η κακόβουλη μακροεντολή του Serpent ανακτά μια εικόνα του Swiper the Fox από τη σειρά κινουμένων σχεδίων Dora the Explorer.
Ωστόσο, αυτή η εικόνα δεν είναι εντελώς ακίνδυνη, καθώς χρησιμοποιεί Stenography για να κρύψει ένα σενάριο PowerShell που θα εκτελέσουν οι μακροεντολές. Η στενογραφία χρησιμοποιείται για την απόκρυψη δεδομένων για να αποφύγει τον εντοπισμό από τους χρήστες και τα εργαλεία προστασίας από ιούς, καθώς φαίνεται σαν μια κανονική εικόνα.
Το σενάριο PowerShell του Serpent θα κατεβάσει και θα εγκαταστήσει πρώτα τον διαχειριστή πακέτων Chocolatey Windows, ο οποίος στη συνέχεια χρησιμοποιείται για την εγκατάσταση της γλώσσας προγραμματισμού Python και του προγράμματος εγκατάστασης του πακέτου PIP.
Το Chocolatey χρησιμοποιείται επίσης για την αποφυγή ανίχνευσης από λογισμικό ασφαλείας, καθώς χρησιμοποιείται συνήθως σε εταιρικά περιβάλλοντα για απομακρυσμένη διαχείριση λογισμικού και μπορεί να βρίσκεται σε επιτρεπόμενη λίστα σε περιβάλλοντα πληροφορικής.
Τελικά, γίνεται λήψη μιας δεύτερης στεγανογραφικής εικόνας για τη φόρτωση του Serpent backdoor, το οποίο είναι κακόβουλο λογισμικό που βασίζεται στην Python, εξ ου και η ανάγκη για τα προηγουμένως εγκατεστημένα πακέτα στα προηγούμενα βήματα.
Δείτε επίσης: Western Digital: Κρίσιμο bug στο EdgeRover desktop app επηρεάζει Windows/macOS
Μόλις φορτωθεί, το κακόβουλο λογισμικό Serpent θα επικοινωνήσει με τον διακομιστή εντολών και ελέγχου του εισβολέα για να λάβει εντολές για εκτέλεση στη μολυσμένη συσκευή.
Η Proofpoint λέει ότι το backdoor μπορεί να εκτελέσει οποιαδήποτε εντολή αποστέλλεται από τις επιθέσεις, επιτρέποντας στους παράγοντες απειλής να κατεβάσουν περαιτέρω κακόβουλο λογισμικό, να ανοίξουν αντίστροφα κελύφη και να αποκτήσουν πλήρη πρόσβαση στη συσκευή.
