Los investigadores de seguridad cibern\u00e9tica han detallado un mecanismo de persistencia “simple pero eficiente” adoptado por un cargador de malware relativamente incipiente llamado Colibr\u00ed<\/b>que se ha observado desplegando un ladr\u00f3n de informaci\u00f3n de Windows conocido como Vidar como parte de una nueva campa\u00f1a.<\/p>\n
“El ataque comienza con un documento de Word malicioso que despliega un bot Colibri que luego entrega el Vidar Stealer”, Malwarebytes Labs dijo<\/a> en un an\u00e1lisis. “El documento contacta con un servidor remoto en (securetunnel[.]co) para cargar una plantilla remota llamada ‘trkal0.dot’ que contacta una macro maliciosa”, agregaron los investigadores.<\/p>\n Documentado por primera vez por FR3D.HK<\/a> y la empresa india de ciberseguridad CloudSEK a principios de este a\u00f1o, Colibri es una plataforma de malware como servicio (MaaS) que est\u00e1 dise\u00f1ada para colocar cargas \u00fatiles adicionales en sistemas comprometidos. Los primeros signos del cargador aparecieron en los foros clandestinos rusos en agosto de 2021.<\/p>\n “Este cargador tiene m\u00faltiples t\u00e9cnicas que ayudan a evitar la detecci\u00f3n”, investigadora de CloudSEK Marah Aboud se\u00f1alado<\/a> el mes pasado. “Esto incluye omitir la IAT (Tabla de direcciones de importaci\u00f3n) junto con las cadenas cifradas para dificultar el an\u00e1lisis”.<\/p>\n La cadena de ataque de campa\u00f1a observada por Malwarebytes aprovecha una t\u00e9cnica llamada inyecci\u00f3n de plantilla remota<\/a> para descargar el cargador Colibri (“setup.exe”) por medio de un documento de Microsoft Word armado.<\/p>\n Luego, el cargador utiliza un m\u00e9todo de persistencia no documentado anteriormente para sobrevivir a los reinicios de la m\u00e1quina, pero no antes de colocar su propia copia en la ubicaci\u00f3n “%APPDATA%LocalMicrosoftWindowsApps” y nombrarla “Get-Variable.exe<\/a>.”<\/p>\n Lo logra mediante la creaci\u00f3n de una tarea programada en sistemas que ejecutan Windows 10 y superior, con el cargador ejecutando un comando para iniciar Potencia Shell<\/a> con un ventana oculta<\/a> (es decir, -WindowStyle Hidden) a ocultar la actividad maliciosa<\/a> de ser detectado.<\/p>\n “Sucede que Obtener variable<\/a> es un PowerShell v\u00e1lido cmdlet<\/a> (un cmdlet es un comando liviano que se usa en el entorno de Windows PowerShell) que se usa para recuperar el valor de una variable en la consola actual”, explicaron los investigadores.<\/p>\n Pero dado el hecho de que PowerShell se ejecuta de forma predeterminada en el Ruta de aplicaciones de Windows<\/a>el comando emitido durante la creaci\u00f3n de la tarea programada da como resultado la ejecuci\u00f3n del binario malicioso en lugar de su equivalente leg\u00edtimo.<\/p>\n Esto significa efectivamente que “un adversario puede lograr f\u00e1cilmente la persistencia [by] combinar una tarea programada y cualquier carga \u00fatil (siempre que se llame Get-Variable.exe y se coloque en la ubicaci\u00f3n adecuada)”, dijeron los investigadores.<\/p>\n Los \u00faltimos hallazgos llegan como empresa de ciberseguridad Trustwave el mes pasado detallado<\/a> una campa\u00f1a de phishing basada en correo electr\u00f3nico que aprovecha los archivos de ayuda HTML compilada (CHM) de Microsoft para distribuir el malware Vidar en un esfuerzo por pasar desapercibido.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Notorious-Trickbot-Malware-Gang-cierra-su-infraestructura-de-botnet.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/Los-investigadores-descubren-como-el-malware-Colibri-se-mantiene-persistente.gif\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1647430291_958_El-gobierno-aleman-advierte-contra-el-uso-del-software-antivirus.jpeg\")
<\/a><\/div>\n