Un grupo de investigadores de ciberseguridad de Malwarebytes Labs ha descubierto recientemente el mecanismo de persistencia que emplea el malware Colibri, documentado por primera vez a principios de 2022. Parece tratarse de un malware-as-a-service (MaaS) que permite la descarga de código adicional en los sistemas Windows comprometidos.
Malware Colibri
Colibri inicia el ataque mediante un documento de Word malicioso con el que logra desplegarse. A continuación, el bot Colibri instala un malware capaz de robar información en sistemas Windows denominado Vidar stealer. El mencionado documento de Word con el que se inicia el ataque se conecta a un servidor remoto (securetunnel[.]co) para descargarse una plantilla llamada «trkal0.dot» que contiene la macro maliciosa.
El cargador empleado por Colibri fue detectado por primera vez en agosto de 2021. Este malware emplea múltiples técnicas para ocultarse. Algunas de ellas son la omisión de la IAT (Import Address Table) o el uso de cadenas cifradas para complicar el análisis. Además, se ha observado el uso de la técnica de inyección remota de plantillas (remote template injection) para su descarga mediante un documento malicioso de Word.
Mecanismo de persistencia
El método usado para lograr la persistencia del malware se basa en la creación de una tarea programada, de esta forma logra sobrevivir a los reinicios de la máquina. Este mecanismo solo se ha observado en sistemas Windows 10 y posteriores, mediante la PowerShell y la opción de ejecución en ventana oculta (e.g. -WindowStyle Hidden).
Para ello, en primer lugar, Colibri crea una copia de sí mismo en la ubicación «%APPDATA%\Local\Microsoft\WindowsApps» con el nombre «Get-Variable.exe». Con esto, aprovecha que Get-Variable es un comando ligero usado en el entorno PowerShell para recuperar el valor de una variable en la consola. Logrando así enmascarar fácilmente la actividad maliciosa.
PowerShell se ejecuta de manera predeterminada en la ruta de WindowsApps. Así, el comando ejecutado por el malware durante la creación de la tarea programada da como resultado la ejecución del binario malicioso en lugar de su contraparte legítima. Con la combinación de la tarea programada y de la carga útil del malware, se logra la persistencia del mismo.
Actualidad
La empresa de ciberseguridad Trustwave detectó durante el mes de marzo de 2022 el empleo del malware Colibri en una campaña de phishing por correo. Se observó que empleaba archivos de ayuda HTML compilados (CHM) de Microsoft para la distribución del malware Vidar.
Más información:
Deja una respuesta