Stéganographie, Python et Chocolatey. Tous ces ingrédients sont au menu de Serpent. Proofpoint a donné ce nom à une backdoor qu’il dit dirigée contre des entités françaises des secteurs de la construction, de l’immobilier et du secteur gouvernemental.
À la racine, il y a une campagne de phishing. Avec des documents Word contenant une macro malveillante. Son exécution déclenche toute une chaîne d’actions que résume le schéma ci-dessous.
Dans les grandes lignes :
– La macro télécharge une image (.jpg) dans laquelle se cache un script PowerShell encodé en Base64
– Ce script télécharge et installe – sur les OS Windows – le gestionnaire de paquets Chocolatey
– Chocolatey lui-même installe un gestionnaire de paquets ; en l’occurrence, pip (celui du langage Python)
– pip est utilisé pour installer des dépendances, dont le proxy inversé PySocks
– Le script PowerShell récupère une autre image qui contient elle-même un script Python ; script enregistré sous le nom MicrosoftSecurityUpdate.py et exécuté indirectement, par l’intermédiaire d’un fichier batch
– En bout de chaîne, l’utilisateur est dirigé vers l’aide en ligne d’Office
Ce script Python, c’est la backdoor Serpent. Elle s’appuie sur PySocks pour se connecter à une instance distante de CLI pour Pasterbin, transmet des éléments relatifs à la machine infectée et reçoit l’URL du fichier constitué avec ces éléments. URL qu’elle transmet ensuite à un deuxième serveur de commande, avec le nom de l’hôte infecté.
À qui doit-on cette campagne et quels sont ses objectifs ? Proofpoint ne se prononce sur aucun de ces deux sujets. Le groupe américain souligne en revanche la relative rareté de certaines des techniques sur lesquelles repose la démarche. En particulier, pour diffuser discrètement d’autres charges malveillantes, l’exploitation du planificateur de tâches (via schtasks.exe), qui sert à lancer un exécutable portable en tant qu’enfant d’un processus de confiance (taskhostsw.exe).
Illustration principale © Jne Valokuvaus – Shutterstock
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…
Les voix du CISPE et des associations d'utilisateurs s'accordent face à Broadcom et à ses…
Bonnes pratiques, indicateurs, prestataires... Aperçu de quelques arbitrages que le comité d'organisation de Paris 2024…
Le 31 mars 2023, le PTCC (Programme de transfert au Campus Cyber) était officiellement lancé.…
Nicolas Gour, DSI du groupe Worldline, explique comment l’opérateur de paiement fait évoluer sa gouvernance…
Comme avant la Coupe du monde de rugby, l'ANSSI dresse un état des lieux de…