Rilevamento del Malware Colibri Loader: Persistenza Insolita Usando PowerShell

Un caricatore di malware Colibri che è apparso non molto tempo fa – nell’agosto 2021, è stato recentemente scoperto mentre consegnava Vidar payload in una nuova campagna di Colibri Loader. I ricercatori indicano che Colibri utilizza una tecnica di persistenza insolita che non è stata tracciata fino ad ora. La funzionalità aggiornata motiva gli avversari a continuare a vendere la loro nuova creazione di malware ad altri cybercriminali che cercano modi non convenzionali e difficili da rilevare di stabilire e mantenere la persistenza.

Continua a leggere per saperne di più sul percorso di Colibri Loader e scopri i nostri contenuti di rilevamento più recenti creati appositamente per questa ultima versione di malware.

Campagna Colibri Loader: Come rilevare

Puoi provare a rilevare il malware Colibri Loader con l’aiuto della nostra più recente regola basata su Sigmacreata dal nostro sviluppatore di Threat Bounty Kaan Yeniyol. Questa regola è specificamente mirata a rilevare il metodo di persistenza più recente utilizzato dagli attori della minaccia e affrontare la tecnica Scheduled Task/Job (T1053) del framework MITRE ATT&CK® .

Persistenza sospetta di Colibri Loader tramite PowerShell creando un’attività pianificata (via sicurezza)

Per tenere traccia delle nostre più recenti rilevazioni riguardanti Colibri Loader e malware associati a simili attacchi, puoi utilizzare le funzionalità della nostra ricerca avanzata. Basta fare clic sul pulsante Visualizza Rilevamenti, accedere al tuo account e personalizzare i criteri di ricerca nel modo che preferisci. E se sei un professionista affermato nella caccia e rilevamento delle minacce, puoi contribuire alla nostra iniziativa globale di crowdsourcing e monetizzare creando i tuoi rilevamenti

Visualizza Rilevamenti Unisciti a Threat Bounty

Analisi Malware Colibri Loader

La versione iniziale di Colibri Loader creata la scorsa estate, distribuiva un file EXE con un codice auto-modificante tramite file trojanizzati. Nella campagna in corso, la catena di attacco inizia anche con un documento Word infetto che avvia l’operazione di un bot Colibri e stabilisce una tattica di persistenza insolita. Nel frattempo, Vidar Stealer è responsabile per il resto della missione dannosa sul computer della vittima.

Le campagne precedenti stabilivano una connessione con il server C2 scaricando un payload corrispondente /gate.php e poi inviando una richiesta HTTP GET chiamando la funzione HttpSendRequestW. In questa nuova variante del payload di Colibri Loader, l’attacco inizia avviando un’iniezione di template remoto. Il documento infetto comunica con un server remoto per scaricare un template DOT che poi contatta la macro dannosa. Quest’ultima, a sua volta, abilita PowerShell a scaricare un file EXE che contiene il payload finale di Colibri.

Una caratteristica dello sfruttamento di PowerShell in questa campagna è che viene utilizzato in modo piuttosto unico per mantenere la persistenza della macchina infetta. È importante menzionare che Colibri Loader ha diverse versioni dei suoi eseguibili che consentono la persistenza per diverse versioni di Windows: una per le 10 e 11, e un’altra per le versioni più vecchie (Windows 7 e 8). Anche i luoghi per il rilascio di questi file variano. Tuttavia, generalmente, quei file dannosi vengono eseguiti mascherandosi come cmdlet legittimi di PowerShell. Ad esempio, un file dannoso chiamato Get-Variable.exe rilasciato nella directory WindowsApps (percorso nativo per l’esecuzione di PowerShell) coincide con il cmdlet simile Get-Variable che viene normalmente utilizzato in PowerShell. Di conseguenza, il binario dannoso viene eseguito invece del normale comando.

I ricercatori hanno anche notato l’esecuzione di PowerShell in una finestra nascosta che credono sia una novità specifica di questo ultimo vettore di attacco sfruttato da Colibri. Il fatto che sia nuovo e non ancora sufficientemente studiato dagli analisti di sicurezza facilita il processo di Colibri Loader a guadagnare popolarità nei mercati del dark web. Adeguarsi continuamente alle difese della cybersecurity per superare gli avversari potrebbe sembrare una sfida, ma può diventare più efficiente se si sfruttano i vantaggi della difesa collaborativa. Unisciti alla piattaforma Detection as Code di SOC Prime e ottieni accesso istantaneo al pool globale di contenuti di rilevamento che viene costantemente aggiornato per resistere alle minacce emergenti.