Cybersecurity-Forscher haben einen „einfachen, aber effizienten“ Persistenz-Mechanismus beschrieben, der von einem relativ neuen Malware-Loader namens Colibri verwendet wird, der im Rahmen einer neuen Kampagne einen Windows-Informationsdieb namens Vidar einsetzt.
„Der Angriff beginnt mit einem bösartigen Word-Dokument, das einen Colibri-Bot auslöst, der dann den Vidar-Stealer ausliefert“, so Malwarebytes Labs in einer Analyse. „Das Dokument kontaktiert einen Remote-Server (securetunnel[.]co), um eine Remote-Vorlage namens ‚trkal0.dot‘ zu laden, die ein bösartiges Makro kontaktiert“, so die Forscher weiter.
Colibri, das von FR3D.HK und dem indischen Cybersecurity-Unternehmen CloudSEK Anfang des Jahres entdeckt wurde, ist eine Malware-as-a-Service (MaaS)-Plattform, die darauf ausgelegt ist, zusätzliche Nutzlasten auf kompromittierten Systemen abzulegen. Erste Hinweise auf den Loader tauchten im August 2021 in russischen Untergrundforen auf.
„Dieser Loader verfügt über mehrere Techniken, um nicht entdeckt zu werden“, stellte CloudSEK-Forscher Marah Aboud letzten Monat fest. „Dazu gehört das Weglassen der IAT (Import Address Table) zusammen mit den verschlüsselten Strings, um die Analyse zu erschweren.“
Die von Malwarebytes beobachtete Angriffskette macht sich eine Technik namens Remote Template Injection zunutze, um den Colibri-Loader („setup.exe“) über ein waffenfähiges Microsoft Word-Dokument herunterzuladen.
Der Loader nutzt dann eine bisher nicht dokumentierte Persistenzmethode, um einen Neustart des Rechners zu überleben, aber nicht bevor er seine eigene Kopie am Speicherort „%APPDATA%\Local\Microsoft\WindowsApps“ ablegt und sie „Get-Variable.exe“ nennt.
Er erreicht dies, indem er auf Systemen mit Windows 10 und höher eine geplante Aufgabe erstellt, bei der der Loader einen Befehl ausführt, um die PowerShell mit einem versteckten Fenster zu starten (d.h. -WindowStyle Hidden), um die bösartige Aktivität vor der Entdeckung zu verbergen.
„Zufälligerweise ist Get-Variable ein gültiges PowerShell-Cmdlet (ein Cmdlet ist ein leichtgewichtiger Befehl, der in der Windows PowerShell-Umgebung verwendet wird), mit dem der Wert einer Variablen in der aktuellen Konsole abgefragt wird“, erklären die Forscher.
Da die PowerShell aber standardmäßig im WindowsApps-Pfad ausgeführt wird, führt der Befehl, der bei der Erstellung der geplanten Aufgabe eingegeben wird, dazu, dass die bösartige Binärdatei anstelle ihres legitimen Gegenstücks ausgeführt wird.
Das bedeutet, dass „ein Angreifer leicht eine Persistenz erreichen kann, indem er eine geplante Aufgabe mit einer beliebigen Nutzlast kombiniert (solange sie Get-Variable.exe heißt und am richtigen Ort platziert ist)“, so die Forscher.
Die neuesten Erkenntnisse kommen, nachdem das Cybersicherheitsunternehmen Trustwave im letzten Monat eine E-Mail-basierte Phishing-Kampagne aufgedeckt hat, die Microsoft Compiled HTML Help (CHM)-Dateien nutzt, um die Vidar-Malware zu verbreiten, ohne dabei aufzufallen.