Los investigadores de seguridad cibernética han detallado un mecanismo de persistencia «simple pero eficiente» adoptado por un cargador de malware relativamente incipiente llamado Colibríque se ha observado desplegando un ladrón de información de Windows conocido como Vidar como parte de una nueva campaña.
«El ataque comienza con un documento de Word malicioso que despliega un bot Colibri que luego entrega el Vidar Stealer», Malwarebytes Labs dijo en un análisis. «El documento contacta con un servidor remoto en (securetunnel[.]co) para cargar una plantilla remota llamada ‘trkal0.dot’ que contacta una macro maliciosa», agregaron los investigadores.
Documentado por primera vez por FR3D.HK y la empresa india de ciberseguridad CloudSEK a principios de este año, Colibri es una plataforma de malware como servicio (MaaS) que está diseñada para colocar cargas útiles adicionales en sistemas comprometidos. Los primeros signos del cargador aparecieron en los foros clandestinos rusos en agosto de 2021.
«Este cargador tiene múltiples técnicas que ayudan a evitar la detección», investigadora de CloudSEK Marah Aboud señalado el mes pasado. «Esto incluye omitir la IAT (Tabla de direcciones de importación) junto con las cadenas cifradas para dificultar el análisis».
La cadena de ataque de campaña observada por Malwarebytes aprovecha una técnica llamada inyección de plantilla remota para descargar el cargador Colibri («setup.exe») por medio de un documento de Microsoft Word armado.
Luego, el cargador utiliza un método de persistencia no documentado anteriormente para sobrevivir a los reinicios de la máquina, pero no antes de colocar su propia copia en la ubicación «%APPDATA%LocalMicrosoftWindowsApps» y nombrarla «Get-Variable.exe.»
Lo logra mediante la creación de una tarea programada en sistemas que ejecutan Windows 10 y superior, con el cargador ejecutando un comando para iniciar Potencia Shell con un ventana oculta (es decir, -WindowStyle Hidden) a ocultar la actividad maliciosa de ser detectado.
«Sucede que Obtener variable es un PowerShell válido cmdlet (un cmdlet es un comando liviano que se usa en el entorno de Windows PowerShell) que se usa para recuperar el valor de una variable en la consola actual», explicaron los investigadores.
Pero dado el hecho de que PowerShell se ejecuta de forma predeterminada en el Ruta de aplicaciones de Windowsel comando emitido durante la creación de la tarea programada da como resultado la ejecución del binario malicioso en lugar de su equivalente legítimo.
Esto significa efectivamente que «un adversario puede lograr fácilmente la persistencia [by] combinar una tarea programada y cualquier carga útil (siempre que se llame Get-Variable.exe y se coloque en la ubicación adecuada)», dijeron los investigadores.
Los últimos hallazgos llegan como empresa de ciberseguridad Trustwave el mes pasado detallado una campaña de phishing basada en correo electrónico que aprovecha los archivos de ayuda HTML compilada (CHM) de Microsoft para distribuir el malware Vidar en un esfuerzo por pasar desapercibido.