Les chercheurs en cybersécurité ont détaillé un mécanisme de persistance « simple mais efficace » adopté par un chargeur de logiciels malveillants relativement naissant appelé Colibri, qui a été observé en train de déployer un voleur d’informations Windows connu sous le nom de Vidar dans le cadre d’une nouvelle campagne.
« L’attaque commence par un document Word malveillant déployant un bot Colibri qui délivre ensuite le Vidar Stealer », a déclaré Malwarebytes Labs dans une analyse. « Le document contacte un serveur distant sur (securetunnel[.]co) pour charger un modèle distant nommé ‘trkal0.dot’ qui contacte une macro malveillante », ont ajouté les chercheurs.
Documenté pour la première fois par FR3D.HK et la société indienne de cybersécurité CloudSEK plus tôt cette année, Colibri est une plate-forme de logiciels malveillants en tant que service (MaaS) conçue pour déposer des charges utiles supplémentaires sur des systèmes compromis. Les premiers signes du chargeur sont apparus sur les forums souterrains russes en août 2021.
« Ce chargeur dispose de plusieurs techniques qui aident à éviter la détection », a noté Marah Aboud, chercheuse chez CloudSEK, le mois dernier. « Cela inclut l’omission de l’IAT (table d’adresses d’importation) ainsi que les chaînes cryptées pour rendre l’analyse plus difficile. »
La chaîne d’attaque de la campagne observée par Malwarebytes profite d’une technique appelée injection de modèle à distance pour télécharger le chargeur Colibri (« setup.exe ») au moyen d’un document Microsoft Word militarisé.
Le chargeur utilise ensuite une méthode de persistance précédemment non documentée pour survivre aux redémarrages de la machine, mais pas avant de déposer sa propre copie à l’emplacement « %APPDATA%\Local\Microsoft\WindowsApps » et de la nommer « Get-Variable.exe ».
Pour ce faire, il crée une tâche planifiée sur les systèmes exécutant Windows 10 et versions ultérieures, le chargeur exécutant une commande pour lancer PowerShell avec une fenêtre masquée (c’est-à-dire -WindowStyle Hidden) pour empêcher la détection de l’activité malveillante.
« Il se trouve que Get-Variable est une applet de commande PowerShell valide (une applet de commande est une commande légère utilisée dans l’environnement Windows PowerShell) qui est utilisée pour récupérer la valeur d’une variable dans la console actuelle », ont expliqué les chercheurs.
Mais étant donné que PowerShell est exécuté par défaut dans le chemin WindowsApps, la commande émise lors de la création de la tâche planifiée entraîne l’exécution du binaire malveillant à la place de son homologue légitime.
Cela signifie effectivement qu' »un adversaire peut facilement atteindre la persistance [en] combinant une tâche planifiée et n’importe quelle charge utile (tant qu’elle s’appelle Get-Variable.exe et est placée au bon endroit) », ont déclaré les chercheurs.
Les dernières découvertes surviennent alors que la société de cybersécurité Trustwave a détaillé le mois dernier une campagne de phishing par e-mail qui exploite les fichiers Microsoft Compiled HTML Help (CHM) pour distribuer le malware Vidar dans le but de voler sous le radar.