Les chercheurs en cybersécurité ont détaillé un mécanisme de persistance « simple mais efficace » adopté par un chargeur de logiciels malveillants relativement naissant appelé Colibriqui a été observé en train de déployer un voleur d’informations Windows connu sous le nom de Vidar dans le cadre d’une nouvelle campagne.
« L’attaque commence par un document Word malveillant déployant un bot Colibri qui délivre ensuite le Vidar Stealer », Malwarebytes Labs mentionné dans une analyse. « Le document contacte un serveur distant à (securetunnel[.]co) pour charger un modèle distant nommé ‘trkal0.dot’ qui contacte une macro malveillante », ont ajouté les chercheurs.
Documenté pour la première fois par FR3D.HK et la société indienne de cybersécurité CloudSEK plus tôt cette année, Colibri est une plate-forme de logiciels malveillants en tant que service (MaaS) conçue pour déposer des charges utiles supplémentaires sur des systèmes compromis. Les premiers signes du chargeur sont apparus sur les forums souterrains russes en août 2021.
« Ce chargeur dispose de plusieurs techniques qui permettent d’éviter la détection », a déclaré Marah Aboud, chercheuse chez CloudSEK. c’est noté le mois dernier. « Cela inclut l’omission de l’IAT (table d’adresses d’importation) ainsi que des chaînes cryptées pour rendre l’analyse plus difficile. »
La chaîne d’attaque de campagne observée par Malwarebytes tire parti d’une technique appelée injection de modèle à distance pour télécharger le chargeur Colibri (« setup.exe ») au moyen d’un document Microsoft Word militarisé.
Le chargeur utilise ensuite une méthode de persistance précédemment non documentée pour survivre aux redémarrages de la machine, mais pas avant de déposer sa propre copie à l’emplacement « %APPDATA%LocalMicrosoftWindowsApps » et de le nommer « Get-Variable.exe. »
Il y parvient en créant une tâche planifiée sur les systèmes exécutant Windows 10 et versions ultérieures, le chargeur exécutant une commande pour lancer PowerShell avec un fenêtre cachée (c’est-à-dire, -WindowStyle Hidden) à dissimuler l’activité malveillante d’être détecté.
« Il se trouve que Get-Variable est un PowerShell valide applet de commande (une applet de commande est une commande légère utilisée dans l’environnement Windows PowerShell) qui est utilisée pour récupérer la valeur d’une variable dans la console actuelle », ont expliqué les chercheurs.
Mais étant donné que PowerShell est exécuté par défaut dans le Chemin des applications Windowsla commande émise lors de la création de la tâche planifiée entraîne l’exécution du binaire malveillant à la place de son homologue légitime.
Cela signifie effectivement qu' »un adversaire peut facilement obtenir de la persévérance [by] combinant une tâche planifiée et n’importe quelle charge utile (du moment qu’elle s’appelle Get-Variable.exe et qu’elle est placée au bon endroit) », ont déclaré les chercheurs.
Les dernières découvertes surviennent alors que la société de cybersécurité Trustwave le mois dernier détaillé une campagne de phishing par e-mail qui exploite les fichiers Microsoft Compiled HTML Help (CHM) pour distribuer le malware Vidar dans le but de voler sous le radar.