Pesquisadores expuseram uma nova campanha de e-mail direcionada para entidades francesas nos setores de construção, imobiliário e governo que aproveita o gerenciador de pacotes Chocolatey Windows para fornecer um backdoor chamado Serpent em sistemas comprometidos.
A empresa de segurança corporativa Proofpoint atribuiu os ataques a um provável agente de ameaças avançado com base nas táticas e nos padrões de vitimologia observados. O objetivo final da campanha permanece atualmente desconhecido.
“O agente da ameaça tentou instalar um backdoor no dispositivo de uma vítima em potencial, o que poderia permitir administração remota, comando e controle (C2), roubo de dados ou entregar outras cargas adicionais”, disseram os pesquisadores da Proofpoint em um relatório compartilhado com o The Hacker News.
A isca de phishing que desencadeia a sequência de infecção faz uso de uma linha de assunto com tema de currículo, com o documento do Microsoft Word anexado em macro-embutido disfarçado como informações relacionadas ao Regulamento Geral de Proteção de Dados da União Europeia (GDPR).
Habilitar as macros resulta em sua execução, que recupera um arquivo de imagem aparentemente inofensivo hospedado em um servidor remoto, mas na verdade contém um script PowerShell codificado em Base64 que é obscurecido usando esteganografia, um método pouco usado de ocultar código malicioso em uma imagem ou áudio para para contornar a detecção.
O script do PowerShell, por sua vez, é projetado para instalar o utilitário Chocolatey na máquina Windows, que é então utilizado para instalar o pip do instalador do pacote Python, o último dos quais atua como um canal para instalar a biblioteca de proxy PySocks.
Também recuperado pelo mesmo script do PowerShell é outro arquivo de imagem do mesmo servidor remoto que inclui o backdoor Python camuflado apelidado de Serpent, que vem com recursos para executar comandos transmitidos do servidor C2.
Além da esteganografia, o uso de ferramentas amplamente reconhecidas, como Chocolatey, como carga útil inicial para implantação subsequente de pacotes Python genuínos é uma tentativa de permanecer sob o radar e não ser sinalizado como uma ameaça, disse a Proofpoint.
Os ataques não desenterraram associações com um ator ou grupo previamente identificado, mas suspeita-se que sejam obra de uma sofisticada equipe de hackers.
"Esta é uma nova aplicação de uma variedade de tecnologias que muitas vezes são usadas legitimamente dentro das organizações", disse Sherrod DeGrippo, vice-presidente de pesquisa e detecção de ameaças da Proofpoint, em comunicado.
"Ele capitaliza o desejo de muitas organizações, especificamente grupos técnicos, de permitir que seus usuários sejam 'autossuficientes' em relação a auto-ferramentas e gerenciadores de pacotes. Além disso, o uso de esteganografia é incomum e algo que não vemos regularmente ."
Comentários
Postar um comentário