Detección de Malware Colibri Loader: Persistencia Inusual Usando PowerShell

Un cargador de malware Colibri que apareció hace no mucho tiempo, en agosto de 2021, ha sido recientemente descubierto entregando Vidar cargas útiles en una nueva campaña de Colibri Loader. Los investigadores indican que Colibri usa una técnica de persistencia inusual que no se había rastreado hasta este momento. La funcionalidad actualizada motiva a los adversarios a seguir vendiendo su nueva creación de malware a otros ciberdelincuentes que buscan formas poco convencionales y difíciles de detectar para establecer y mantener la persistencia.

Continúa leyendo para aprender más sobre el camino de Colibri Loader y descubre nuestro contenido de detección más reciente creado específicamente para esta última versión de malware.

Campaña de Colibri Loader: Cómo Detectar

Puedes intentar detectar el malware Colibri Loader con la ayuda de nuestra nueva regla basada en Sigma, creada por nuestro desarrollador de Threat Bounty, Kaan Yeniyol. Esta regla está específicamente dirigida a detectar el método de persistencia más reciente aprovechado por los actores de amenazas y aborda la técnica de Tarea/Trabajo Programado (T1053) del marco MITRE ATT&CK developer Kaan Yeniyol. This rule is specifically targeted at detecting the newest persistence method leveraged by threat actors and addressing the Scheduled Task/Job (T1053) technique from the MITRE ATT&CK® .

Persistencia Sospechosa de Colibri Loader por PowerShell Creando Tarea Programada (vía seguridad)

Para seguir el rastro de nuestras detecciones más recientes sobre Colibri Loader y malware asociado con ataques similares, puedes usar las funciones de nuestra búsqueda avanzada. Simplemente haz clic en el botón Ver Detecciones, inicia sesión en tu cuenta y personaliza tus criterios de búsqueda a tu gusto. Y si eres un profesional establecido en la búsqueda y detección de amenazas, puedes contribuir a nuestra iniciativa global de crowdsourcing y monetizar creando tu propia detección

Ver Detecciones Únete a Threat Bounty

Análisis de Malware de Colibri Loader

La versión inicial de Colibri Loader que se creó el verano pasado entregaba un archivo EXE con un código auto-modificante a través de archivos troyanizados. En una campaña en curso, la cadena de ataque también comienza con un documento de Word infectado que lanza la operación de un bot Colibri y establece una táctica de persistencia inusual. Mientras tanto, Vidar Stealer es responsable del resto de la misión maliciosa en la computadora de la víctima.

Campañas anteriores establecieron una conexión con el servidor C2 descargando una carga útil correspondiente /gate.php y luego enviando una solicitud HTTP GET llamando a la función HttpSendRequestW. En esta nueva variante de la carga útil de Colibri Loader, el ataque comienza iniciando una inyección de plantilla remota. El documento infectado se comunica con un servidor remoto para descargar una plantilla DOT que luego contacta con el macro malicioso. Este último, a su vez, habilita PowerShell para descargar un archivo EXE que contiene la carga útil final de Colibri.

Una cosa sobre el exploit de PowerShell en esta campaña es que se está utilizando de una manera bastante única para mantener la persistencia de la máquina infectada. Vale la pena mencionar que Colibri Loader tiene diferentes versiones de sus ejecutables que permiten la persistencia para diferentes versiones de Windows: una para 10 y 11, y otra para versiones más antiguas (Windows 7 y 8). Las ubicaciones para soltar estos archivos también varían. Sin embargo, generalmente, esos archivos maliciosos se ejecutan haciéndose pasar por cmdlets legítimos de PowerShell. Por ejemplo, un archivo malicioso llamado Get-Variable.exe depositado en el directorio WindowsApps (ruta nativa para la ejecución de PowerShell) coincide con el cmdlet similar Get-Variable que normalmente se utiliza en PowerShell. Como resultado, el binario malicioso se ejecuta en lugar del comando normal.

Los investigadores también notaron la ejecución de PowerShell en una ventana oculta que creen ser una nueva característica específica de este último vector de ataque aprovechado por Colibri. El hecho de que sea nuevo y no suficientemente estudiado por los analistas de seguridad facilita el proceso de Colibri Loader ganando popularidad en mercados cibernéticos oscuros. Ajustar continuamente las defensas de ciberseguridad para vencer a los adversarios puede parecer desafiante, pero puede volverse más eficiente si se aprovechan los beneficios de la defensa colaborativa. Únete a la plataforma Detection as Code de SOC Prime y obtén acceso instantáneo al grupo global de contenido de detección que se actualiza constantemente para resistir las amenazas emergentes.