Siber güvenlik araştırmacıları, nispeten yeni ortaya çıkan bir kötü amaçlı yazılım yükleyicisi tarafından benimsenen “basit ama verimli” bir kalıcılık mekanizmasını ayrıntılı olarak açıkladılar. kolibriYeni bir kampanyanın parçası olarak Vidar olarak bilinen bir Windows bilgi hırsızını dağıttığı gözlemlendi.
Malwarebytes Labs, “Saldırı, kötü amaçlı bir Word belgesinin bir Colibri botu dağıtması ve ardından Vidar Stealer’ı teslim etmesiyle başlıyor.” dedim bir analizde. “Belge, (securetunnel) adresindeki uzak bir sunucuyla iletişim kurar.[.]co) zararlı bir makroyla bağlantı kuran ‘trkal0.dot’ adlı uzak bir şablonu yüklemek için” diye ekledi araştırmacılar.
İlk belgeleyen FR3D.HK ve bu yılın başlarında Hintli siber güvenlik şirketi CloudSEK, Colibri, güvenliği ihlal edilmiş sistemlere ek yükler bırakmak üzere tasarlanmış bir hizmet olarak kötü amaçlı yazılım (MaaS) platformudur. Yükleyicinin erken belirtileri, Ağustos 2021’de Rus yeraltı forumlarında ortaya çıktı.
CloudSEK araştırmacısı Marah Aboud, “Bu yükleyici, algılamayı önlemeye yardımcı olan birden fazla tekniğe sahip” not alınmış geçen ay. “Bu, analizi daha zor hale getirmek için şifreli dizelerle birlikte IAT’yi (İçe Aktarma Adresi Tablosu) atlamayı içerir.”
Malwarebytes tarafından gözlemlenen kampanya saldırı zinciri, adı verilen bir teknikten yararlanır. uzak şablon enjeksiyonu Colibri yükleyiciyi (“setup.exe”) silahlı bir Microsoft Word belgesi aracılığıyla indirmek için.
Yükleyici daha sonra makinenin yeniden başlatılmasından kurtulmak için önceden belgelenmemiş bir kalıcılık yöntemini kullanır, ancak kendi kopyasını “%APPDATA%LocalMicrosoftWindowsApps” konumuna bırakıp onu “adlandırmadan önce değil.Get-Değişken.exe“
Bunu, Windows 10 ve üzerini çalıştıran sistemlerde, yükleyicinin başlatmak için bir komut yürüttüğü zamanlanmış bir görev oluşturarak başarır. Güç kalkanı Birlikte gizli pencere (yani, -WindowStyle Gizli) kötü niyetli etkinliği gizlemek tespit edilmekten.
“Öyle oluyor ki Değişken Al geçerli bir PowerShell’dir cmdlet (bir cmdlet, mevcut konsoldaki bir değişkenin değerini almak için kullanılan Windows PowerShell ortamında kullanılan hafif bir komuttur)” diye açıkladı araştırmacılar.
Ancak, PowerShell’in varsayılan olarak yürütüldüğü gerçeği göz önüne alındığında, WindowsApps yoluzamanlanmış görev oluşturma sırasında verilen komut, meşru muadili yerine kötü amaçlı ikili programın yürütülmesine neden olur.
Bu, etkili bir şekilde “bir düşmanın kalıcılığı kolayca elde edebileceği” anlamına gelir. [by] Araştırmacılar, zamanlanmış bir görevi ve herhangi bir yükü birleştirmek (Get-Variable.exe olarak adlandırıldığı ve uygun yere yerleştirildiği sürece),” dedi.
En son bulgular geçen ay siber güvenlik şirketi Trustwave olarak geldi detaylı Vidar kötü amaçlı yazılımını radarın altından uçmak amacıyla dağıtmak için Microsoft Derlenmiş HTML Yardımı (CHM) dosyalarından yararlanan e-posta tabanlı bir kimlik avı kampanyası.
