Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9taill\u00e9 un m\u00e9canisme de persistance “simple mais efficace” adopt\u00e9 par un chargeur de logiciels malveillants relativement naissant appel\u00e9 Colibri<\/b>qui a \u00e9t\u00e9 observ\u00e9 en train de d\u00e9ployer un voleur d’informations Windows connu sous le nom de Vidar dans le cadre d’une nouvelle campagne.<\/p>\n
“L’attaque commence par un document Word malveillant d\u00e9ployant un bot Colibri qui d\u00e9livre ensuite le Vidar Stealer”, Malwarebytes Labs mentionn\u00e9<\/a> dans une analyse. “Le document contacte un serveur distant \u00e0 (securetunnel[.]co) pour charger un mod\u00e8le distant nomm\u00e9 ‘trkal0.dot’ qui contacte une macro malveillante \u00bb, ont ajout\u00e9 les chercheurs.<\/p>\n Document\u00e9 pour la premi\u00e8re fois par FR3D.HK<\/a> et la soci\u00e9t\u00e9 indienne de cybers\u00e9curit\u00e9 CloudSEK plus t\u00f4t cette ann\u00e9e, Colibri est une plate-forme de logiciels malveillants en tant que service (MaaS) con\u00e7ue pour d\u00e9poser des charges utiles suppl\u00e9mentaires sur des syst\u00e8mes compromis. Les premiers signes du chargeur sont apparus sur les forums souterrains russes en ao\u00fbt 2021.<\/p>\n “Ce chargeur dispose de plusieurs techniques qui permettent d’\u00e9viter la d\u00e9tection”, a d\u00e9clar\u00e9 Marah Aboud, chercheuse chez CloudSEK. c’est not\u00e9<\/a> le mois dernier. “Cela inclut l’omission de l’IAT (table d’adresses d’importation) ainsi que des cha\u00eenes crypt\u00e9es pour rendre l’analyse plus difficile.”<\/p>\n La cha\u00eene d’attaque de campagne observ\u00e9e par Malwarebytes tire parti d’une technique appel\u00e9e injection de mod\u00e8le \u00e0 distance<\/a> pour t\u00e9l\u00e9charger le chargeur Colibri (“setup.exe”) au moyen d’un document Microsoft Word militaris\u00e9.<\/p>\n Le chargeur utilise ensuite une m\u00e9thode de persistance pr\u00e9c\u00e9demment non document\u00e9e pour survivre aux red\u00e9marrages de la machine, mais pas avant de d\u00e9poser sa propre copie \u00e0 l’emplacement “%APPDATA%LocalMicrosoftWindowsApps” et de le nommer “Get-Variable.exe<\/a>.”<\/p>\n Il y parvient en cr\u00e9ant une t\u00e2che planifi\u00e9e sur les syst\u00e8mes ex\u00e9cutant Windows 10 et versions ult\u00e9rieures, le chargeur ex\u00e9cutant une commande pour lancer PowerShell<\/a> avec un fen\u00eatre cach\u00e9e<\/a> (c’est-\u00e0-dire, -WindowStyle Hidden) \u00e0 dissimuler l’activit\u00e9 malveillante<\/a> d’\u00eatre d\u00e9tect\u00e9.<\/p>\n \u00ab Il se trouve que Get-Variable<\/a> est un PowerShell valide applet de commande<\/a> (une applet de commande est une commande l\u00e9g\u00e8re utilis\u00e9e dans l’environnement Windows PowerShell) qui est utilis\u00e9e pour r\u00e9cup\u00e9rer la valeur d’une variable dans la console actuelle \u00bb, ont expliqu\u00e9 les chercheurs.<\/p>\n Mais \u00e9tant donn\u00e9 que PowerShell est ex\u00e9cut\u00e9 par d\u00e9faut dans le Chemin des applications Windows<\/a>la commande \u00e9mise lors de la cr\u00e9ation de la t\u00e2che planifi\u00e9e entra\u00eene l’ex\u00e9cution du binaire malveillant \u00e0 la place de son homologue l\u00e9gitime.<\/p>\n Cela signifie effectivement qu'”un adversaire peut facilement obtenir de la pers\u00e9v\u00e9rance [by] combinant une t\u00e2che planifi\u00e9e et n’importe quelle charge utile (du moment qu’elle s’appelle Get-Variable.exe et qu’elle est plac\u00e9e au bon endroit) \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n Les derni\u00e8res d\u00e9couvertes surviennent alors que la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Trustwave le mois dernier d\u00e9taill\u00e9<\/a> une campagne de phishing par e-mail qui exploite les fichiers Microsoft Compiled HTML Help (CHM) pour distribuer le malware Vidar dans le but de voler sous le radar.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/Des-chercheurs-decouvrent-comment-le-logiciel-malveillant-Colibri-reste-persistant.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/Des-chercheurs-decouvrent-comment-le-logiciel-malveillant-Colibri-reste-persistant.gif\")
<\/div>\n<\/a><\/div>\n