Licenças para vários dispositivos (descontos por volume)
Threat Database Backdoors Serpent Backdoor Trojan

Serpent Backdoor Trojan

Por Mezo em Backdoors, Trojans
Traduzir Para:
Português

Uma campanha de ataque altamente direcionada contra empresas francesas que operam nos setores imobiliário, de construção e governamental foi descoberta pelos especialistas em segurança cibernética. As operações ameaçadoras finalmente implantaram uma ameaça de backdoor anteriormente desconhecida, chamada Serpent Backdoor Trojan. Detalhes sobre o malware e a cadeia de ataque foram divulgados em um relatório dos pesquisadores de segurança.

Os objetivos dos agentes de ameaças permanecem desconhecidos, mas o Serpent Backdoor pode executar várias ações intrusivas nas máquinas violadas. O Trojan fornece acesso remoto ao dispositivo, contata um servidor de Comando e Controle (C2, C&C) e pode ser instruído a realizar roubo de dados ou entregar cargas adicionais corrompidas.

Uma Complexa Cadeia de Ataque

De acordo com as descobertas dos pesquisadores, o Serpent Backdoor foi entregue nos sistemas visados como a etapa final de uma cadeia de ataque que envolveu várias técnicas novas ou raramente usadas. Primeiro, os invasores divulgaram e-mails de atração que se apresentavam como currículos de emprego ou documentos relacionados ao GDPR (Regulamentos Gerais de Proteção de Dados da UE) para as vítimas inocentes. Os e-mails continham um documento isca do Microsoft Word com macros comprometidas.

A abertura do documento aciona a macro, que prossegue para obter um script do PowerShell codificado em base64. O script é injetado em uma imagem via esteganografia. O script do PowerShell busca, instala e atualiza um pacote do instalador Chocolatey. Esta é a primeira vez que os pesquisadores observam o uso da ferramenta legítima de automação de gerenciamento de software Chocolatey como parte de uma campanha de ataque.

Chocolatey é usado para instalar o Python no dispositivo, incluindo o instalador do pacote pip. Por sua vez, sua tarefa é instalar inúmeras dependências, como o PySocks, que permite aos usuários desviar o tráfego por meio de servidores proxy SOCKS e HTTP. O próximo passo, mais uma vez, envolve a extração de dados ocultos em uma imagem via esteganografia. Desta vez, um script Python é extraído e salvo na máquina da vítima como MicrosoftSecurityUpdate.py. A cadeia de ataque é concluída após a execução de um comando que aponta para uma URL abreviada que leva ao site de ajuda do Microsoft Office.

Tendendo

Mais visto

Carregando...