Cybersecurity-onderzoekers hebben een “eenvoudig maar efficiënt” persistentiemechanisme beschreven dat is gebruikt door een relatief opkomende malware-loader genaamd Colibridie is waargenomen bij het inzetten van een Windows-informatie-stealer, bekend als Vidar, als onderdeel van een nieuwe campagne.
“De aanval begint met een kwaadaardig Word-document dat een Colibri-bot inzet die vervolgens de Vidar Stealer levert”, Malwarebytes Labs zei in een analyse. “Het document maakt contact met een externe server op (securetunnel[.]co) om een externe sjabloon met de naam ‘trkal0.dot’ te laden die contact maakt met een kwaadaardige macro”, voegde de onderzoekers eraan toe.
Eerst gedocumenteerd door FR3D.HK en het Indiase cyberbeveiligingsbedrijf CloudSEK eerder dit jaar, is Colibri een malware-as-a-service (MaaS)-platform dat is ontworpen om extra payloads op gecompromitteerde systemen te laten vallen. De eerste tekenen van de lader verschenen in augustus 2021 op Russische ondergrondse fora.
“Deze loader heeft meerdere technieken die detectie helpen voorkomen”, zegt CloudSEK-onderzoeker Marah Aboud dat is genoteerd vorige maand. “Dit omvat het weglaten van de IAT (Import Address Table) samen met de versleutelde strings om de analyse moeilijker te maken.”
De aanvalsketen van de campagne die door Malwarebytes wordt waargenomen, maakt gebruik van een techniek genaamd sjablooninjectie op afstand om de Colibri-lader (“setup.exe”) te downloaden door middel van een bewapend Microsoft Word-document.
De lader maakt vervolgens gebruik van een voorheen ongedocumenteerde persistentiemethode om het opnieuw opstarten van de machine te overleven, maar niet voordat hij zijn eigen kopie naar de locatie “%APPDATA%LocalMicrosoftWindowsApps” laat vallen en deze een naam geeft “Get-Variable.exe.”
Het bereikt dit door een geplande taak te maken op systemen met Windows 10 en hoger, waarbij de lader een opdracht uitvoert om te starten PowerShell met een verborgen venster (dwz -WindowStyle Hidden) naar de kwaadaardige activiteit verbergen van gedetecteerd te worden.
“Het gebeurt zo dat Get-variabele is een geldige PowerShell cmdlet (een cmdlet is een lichtgewicht commando dat wordt gebruikt in de Windows PowerShell-omgeving) dat wordt gebruikt om de waarde van een variabele in de huidige console op te halen”, legden de onderzoekers uit.
Maar gezien het feit dat PowerShell standaard wordt uitgevoerd in de WindowsApps-padresulteert de opdracht die wordt gegeven tijdens het maken van de geplande taak in de uitvoering van het kwaadaardige binaire bestand in de plaats van zijn legitieme tegenhanger.
Dit betekent in feite dat “een tegenstander gemakkelijk volharding kan bereiken” [by] het combineren van een geplande taak en elke payload (zolang het Get-Variable.exe wordt genoemd en op de juiste locatie wordt geplaatst), “zei de onderzoekers.
De nieuwste bevindingen komen vorige maand als cyberbeveiligingsbedrijf Trustwave gedetailleerd een op e-mail gebaseerde phishing-campagne die gebruikmaakt van Microsoft Compiled HTML Help (CHM)-bestanden om de Vidar-malware te verspreiden in een poging om onder de radar te vliegen.
