Colibri Loader IOC

Colibri Loader - это относительно новая вредоносная программа, которая впервые появилась на подпольных форумах в августе 2021 года и рекламировалась "людям, у которых большие объемы трафика и нехватка времени на проработку материала". Как следует из его названия, он предназначен для доставки и управления полезной нагрузкой на зараженных компьютерах.

Содержание

Colibri Loader

Исследователи Malwarebytes недавно обнаружили новую кампанию Colibri Loader, поставляющую Mars Stealer в качестве конечной полезной нагрузки.

Атака начинается с вредоносного документа Word, развертывающего бота Colibri, который затем доставляет Mars Stealer. Документ связывается с удаленным сервером по адресу (securetunnel.co) для загрузки удаленного шаблона с именем trkal0.dot, который вызывает вредоносный макрос.

Colibri использует PowerShell уникальным способом для сохранения после перезагрузки. В зависимости от версии Windows, Colibri помещает свою копию в %APPDATA%\Local\Microsoft\WindowsApps и называет ее Get-Variable.exe для Windows 10 и выше, а для более низких версий - в %DOCUMENTS%/WindowsPowerShell под именем dllhost.exe.

В Windows 7 он создает запланированную задачу с помощью следующей команды:

schtasks.exe /create /tn COMSurrogate /st 00:00 /du 9999:59 /sc once /ri 1 /f /tr "C:\Users\admin\Documents\WindowsPowerShell\dllhost.exe".

1	schtasks.exe /create /tn COMSurrogate /st 00:00 /du 9999:59 /sc once /ri 1 /f /tr "C:\Users\admin\Documents\WindowsPowerShell\dllhost.exe".

В Windows 10 и выше создается запланированная задача с помощью следующей команды:

schtasks.exe /create /tn COMSurrogate /st 00:00 /du 9999:59 /sc once /ri 1 /f /tr "powershell.exe -windowstyle hidden".

1	schtasks.exe /create /tn COMSurrogate /st 00:00 /du 9999:59 /sc once /ri 1 /f /tr "powershell.exe -windowstyle hidden".

В первом сценарии (Win7) мы видим задачу, указывающую на путь Colibri Loader. Однако во втором мы видим странную задачу на выполнение PowerShell со скрытым окном.

Как упоминалось ранее, он сбрасывает файл с именем Get-Variable.exe в каталог WindowsApps. Так получилось, что Get-Variable - это действительная команда PowerShell, которая используется для получения значения переменной в текущей консоли.

Кроме того, WindowsApps по умолчанию находится в пути, по которому выполняется PowerShell. Поэтому, когда команда Get-Variable выдается при выполнении PowerShell, система сначала ищет в пути исполняемый файл Get-Variable и выполняет вредоносный двоичный файл вместо того, чтобы искать команду PowerShell.

Colibri Loader

Indicators of Compromise

Domain

SHA256