Los investigadores han expuesto una nueva campaña de correo electrónico dirigida a entidades francesas en los sectores de la construcción, bienes raíces y gobierno que aprovecha el administrador de paquetes Chocolatey Windows para ofrecer una puerta trasera llamada Serpiente en sistemas comprometidos.
La empresa de seguridad empresarial Proofpoint atribuyó los ataques a un probable actor de amenazas avanzado en función de las tácticas y los patrones de victimología observados. El objetivo final de la campaña sigue siendo actualmente desconocido.
«El actor de amenazas intentó instalar una puerta trasera en el dispositivo de una posible víctima, lo que podría permitir la administración remota, el comando y control (C2), el robo de datos o entregar otras cargas útiles adicionales», investigadores de Proofpoint. dijo en un informe compartido con The Hacker News.
El señuelo de phishing que desencadena la secuencia de infección utiliza una línea de asunto con el tema de un currículum, con el documento adjunto de Microsoft Word incrustado en una macro que se hace pasar por información relacionada con el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.
Habilitar las macros da como resultado su ejecución, que recupera un archivo de imagen aparentemente inofensivo alojado en un servidor remoto pero que en realidad contiene un script de PowerShell codificado en Base64 que se oscurece mediante esteganografía, un método poco utilizado para ocultar código malicioso dentro de una imagen o audio con el fin de para eludir la detección.
El script de PowerShell, a su vez, está diseñado para instalar el Utilidad achocolatada en la máquina con Windows, que luego se utiliza para instalar el instalador del paquete de Python pepitael último de los cuales actúa como conducto para instalar el PySocks biblioteca proxy.
El mismo script de PowerShell también recupera otro archivo de imagen del mismo servidor remoto que incluye la puerta trasera Python camuflada denominada Serpent, que viene con capacidades para ejecutar comandos transmitidos desde el servidor C2.
Además de la esteganografía, el uso de herramientas ampliamente reconocidas como Chocolatey como carga útil inicial para la implementación posterior de paquetes Python genuinos es un intento de permanecer oculto y no ser señalado como una amenaza, dijo Proofpoint.
Los ataques no han desenterrado asociaciones con un actor o grupo previamente identificado, pero se sospecha que son obra de un sofisticado equipo de hackers.
«Esta es una aplicación novedosa de una variedad de tecnologías que a menudo se usan legítimamente dentro de las organizaciones», dijo Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint, en un comunicado.
«Aprovecha el deseo de muchas organizaciones, específicamente grupos técnicos, de permitir que sus usuarios sean ‘autosuficientes’ en lo que respecta a las herramientas propias y los administradores de paquetes. Además, el uso de la esteganografía es inusual y algo que no vemos regularmente. .»