Colibri Loader IOC

security Security

Colibri Loader - это относительно новая вредоносная программа, которая впервые появилась на подпольных форумах в августе 2021 года и рекламировалась "людям, у которых большие объемы трафика и нехватка времени на проработку материала". Как следует из его названия, он предназначен для доставки и управления полезной нагрузкой на зараженных компьютерах.

Исследователи Malwarebytes недавно обнаружили новую кампанию Colibri Loader, поставляющую Mars Stealer в качестве конечной полезной нагрузки.

Атака начинается с вредоносного документа Word, развертывающего бота Colibri, который затем доставляет Mars Stealer. Документ связывается с удаленным сервером по адресу (securetunnel.co) для загрузки удаленного шаблона с именем trkal0.dot, который вызывает вредоносный макрос.

Colibri использует PowerShell уникальным способом для сохранения после перезагрузки. В зависимости от версии Windows, Colibri помещает свою копию в %APPDATA%\Local\Microsoft\WindowsApps и называет ее Get-Variable.exe для Windows 10 и выше, а для более низких версий - в %DOCUMENTS%/WindowsPowerShell под именем dllhost.exe.

В Windows 7 он создает запланированную задачу с помощью следующей команды:

schtasks.exe /create /tn COMSurrogate /st 00:00 /du 9999:59 /sc once /ri 1 /f /tr "C:\Users\admin\Documents\WindowsPowerShell\dllhost.exe".

В Windows 10 и выше создается запланированная задача с помощью следующей команды:

schtasks.exe /create /tn COMSurrogate /st 00:00 /du 9999:59 /sc once /ri 1 /f /tr "powershell.exe -windowstyle hidden".

В первом сценарии (Win7) мы видим задачу, указывающую на путь Colibri Loader. Однако во втором мы видим странную задачу на выполнение PowerShell со скрытым окном.

Как упоминалось ранее, он сбрасывает файл с именем Get-Variable.exe в каталог WindowsApps. Так получилось, что Get-Variable - это действительная команда PowerShell, которая используется для получения значения переменной в текущей консоли.

Кроме того, WindowsApps по умолчанию находится в пути, по которому выполняется PowerShell. Поэтому, когда команда Get-Variable выдается при выполнении PowerShell, система сначала ищет в пути исполняемый файл Get-Variable и выполняет вредоносный двоичный файл вместо того, чтобы искать команду PowerShell.

Indicators of Compromise

Domain

  • securetunnel.co

SHA256

  • 666268641a7db3b600a143fff00a063e77066ad72ac659ebc77bb5d1acd5633d
  • 54a790354dbe3ab90f7d8570d6fc7eb80c024af69d1db6d0f825c094293c5d77
  • b92f4b4684951ff2e5abdb1280e6bff80a14b83f25e4f3de39985f188d0f3aad
Добавить комментарий