Colibri Loader Malware Detection: Unusual Persistence Using PowerShell

Um carregador de malware Colibri que apareceu não há muito tempo – em agosto de 2021, foi recentemente descoberto entregando Vidar cargas úteis em uma nova campanha em andamento do Colibri Loader. Pesquisadores indicam que o Colibri usa uma técnica de persistência incomum que não havia sido rastreada até agora. Funcionalidade atualizada motiva os adversários a continuar vendendo sua nova criação de malware para outros cibercriminosos que buscam maneiras não convencionais e difíceis de detectar para estabelecer e manter a persistência.

Continue lendo para saber mais sobre o caminho do Colibri Loader e descubra nosso conteúdo de detecção mais recente criado especificamente para esta última versão do malware.

Campanha Colibri Loader: Como Detectar

Você pode tentar detectar o malware Colibri Loader com a ajuda da nossa nova regra baseada em Sigma, criada por nosso desenvolvedor Kaan Yeniyol. Esta regra é especificamente direcionada para detectar o método de persistência mais recente utilizado por atores de ameaça e abordar a técnica de Tarefa/Trabalho Agendado (T1053) do framework MITRE ATT&CK developer Kaan Yeniyol. This rule is specifically targeted at detecting the newest persistence method leveraged by threat actors and addressing the Scheduled Task/Job (T1053) technique from the MITRE ATT&CK® .

Persistência Suspeita do Colibri Loader por PowerShell Criando Tarefa Agendada (via segurança)

Para acompanhar nossas mais recentes detecções sobre Colibri Loader e malware associado a ataques semelhantes, você pode usar recursos de nossa pesquisa avançada. Basta clicar no botão Ver Detecções, fazer login na sua conta e personalizar seus critérios de busca da maneira que desejar. E se você é um profissional estabelecido em caça e detecção de ameaças, pode contribuir para nossa iniciativa global de crowdsourcing e monetizar criando sua própria detecção

Ver Detecções Participar do Threat Bounty

Análise de Malware do Colibri Loader

A versão inicial do Colibri Loader que foi criada no verão passado, estava entregando um arquivo EXE com código autoadaptável através de arquivos trojanizados. Em uma campanha em andamento, a cadeia de ataque também começa com um documento Word infectado que lança a operação de um bot Colibri e estabelece uma tática de persistência incomum. Enquanto isso, Vidar Stealer é responsável pelo restante da missão maliciosa no computador da vítima.

Campanhas anteriores estabeleceram uma conexão com o servidor C2 baixando uma carga correspondente /gate.php e então enviando um pedido HTTP GET chamando a função HttpSendRequestW. Nesta nova variante do Colibri Loader, o ataque começa iniciando uma injeção de modelo remoto. O documento infectado se comunica com um servidor remoto para baixar um modelo DOT que então contata a macro maliciosa. Este último, por sua vez, habilita o PowerShell para baixar um arquivo EXE que contém a carga final do Colibri.

Algo sobre a exploração do PowerShell nesta campanha é que está sendo utilizado de uma maneira bastante única para manter a persistência da máquina infectada. Vale mencionar que o Colibri Loader tem diferentes versões de seus executáveis que permitem persistência para diferentes versões do Windows: uma para 10 e 11, e outra para versões mais antigas (Windows 7 e 8). Os locais para largar esses arquivos também variam. Ainda assim, geralmente, esses arquivos maliciosos são executados disfarçados como cmdlets legítimos do PowerShell. Por exemplo, um arquivo malicioso chamado Get-Variable.exe deixado no diretório WindowsApps (caminho nativo para execução do PowerShell) coincide com o cmdlet Get-Variable similar que normalmente é usado no PowerShell. Como resultado, o binário malicioso é executado no lugar do comando normal.

Pesquisadores também notaram a execução do PowerShell em uma janela oculta, que eles acreditam ser uma nova característica específica deste último vetor de ataque aproveitado pelo Colibri. O fato de ser novo e ainda não suficientemente estudado por analistas de segurança facilita o processo de ganho de popularidade do Colibri Loader em mercados cibernéticos obscuros. Ajustar continuamente as defesas de cibersegurança para superar os adversários pode parecer desafiador, mas pode se tornar mais eficiente se for aproveitado os benefícios da defesa colaborativa. Participe da plataforma Detection as Code da SOC Prime e ganhe acesso instantâneo ao pool global de conteúdo de detecção que está sendo constantemente atualizado para resistir às ameaças emergentes.