Le malware « Serpent » s’attaque à la France en exploitant la stéganographie et Chocolatey
Des hackers s'appuient sur le gestionnaire de paquets Chocolatey pour installer le malware "Serpent" sur les systèmes de certaines entreprises, dont des organisations françaises dans le domaine de la construction et de l'industrie.
Pour rappel, Chocolatey est une solution très populaire qui permet d'installer des logiciels en ligne de commande sur une machine Windows. Plusieurs milliers d'applications, et notamment les plus populaires, sont disponibles dans les dépôts officiels de Chocolatey.
La société Proofpoint a fait la découverte de cette nouvelle campagne d'attaques qui s'appuie sur plusieurs éléments : un document Word en français avec une macro, le gestionnaire de paquets Chocolatey et la stéganographie (l'art de dissimuler une information dans une image). Grâce à cette méthode, le malware parvient à passer entre les mailles du filet et à ne pas être détecté par l'antivirus, tel un serpent...
Tout d'abord, l'attaque commence par une campagne de phishing en lien avec le RGPD. Cet e-mail intègre un document Word qui lui-même intègre une macro malveillante. Si vous ouvrez le document et que vous activez le contenu, le code malveillant télécharge une image surprenante : Chipeur le renard, du dessin animé Dora l'Exploratrice (je ne pensais pas parler de Dora l'Exploratrice dans l'un des mes articles un jour !). Cela me fait penser à une célèbre réplique : "Chipeur arrête de chiper".
Cette image peut faire sourire au premier abord, mais en fait elle renferme un script PowerShell invisible puisque la méthode de la stéganographie est utilisée. La macro du document est chargée d'exécuter le script. Ce dernier va télécharger et installer le gestionnaire de paquets Chocolatey sur la machine locale, dans le but d'installer ensuite deux paquets : Python et PIP. Puisque Chocolatey est bien souvent utilisé par les services informatiques, il y a des chances pour qu'il soit autorisé à réaliser l'installation de ces deux paquets. De son côté, Proofpoint précise que c'est la première fois qu'ils observent l'utilisation de Chocolatey dans le cadre d'une campagne d'attaques.
Le malware Serpent a besoin de Python pour fonctionner, d'où l'installation des paquets précédents. Le logiciel en lui-même est également chargé au travers d'une image basée sur de la stéganographie. Dès lors qu'il est en place, Serpent va communiquer avec le serveur Command & Control des attaquants, en attente de commandes à exécuter sur la machine infectée. Proofpoint précise que la porte dérobée permet d'autoriser tout type de commandes donc les attaquants peuvent prendre le contrôle total de la machine.
Le rapport de Proofpoint précise que les e-mails de la campagne de phishing sont envoyés avec ces adresses e-mail (et surement d'autres !) :
- jeanne.vrakele@gmail[.]com
- jean.dupontel@protonmail[.]com
- no-reply@dgfip-nanterre[.]com
Le sujet de l'e-mail peut être "Candidature - Jeanne Vrakele", par exemple. Quant aux serveurs C2, voici les adresses :
- http://ggfwk7yj5hus3ujdls5bjza4apkpfw5bjqbq4j6rixlogylr5x67dmid[.]onion[.]pet/index[.]html
- http://mhocujuh3h6fek7k4efpxo5teyigezqkpixkbvc2mzaaprmusze6icqd[.]onion[.]pet/index[.]html
Faites passer le mot !
