Malwarebytes Labsの脅威インテリジェンスチームは4月5日、「Colibri Loader combines Task Scheduler and PowerShell in clever persistence technique|Malwarebytes Labs」において、Colibri Loader(以下、Colibri)と呼ばれるマルウェアに関する分析結果を公表している。Colibriは2021年8月に登場した比較的新しいマルウェアだが、永続化のためにWindowsのタスクスケジューラとPowerShellを巧妙に組み合わせた手法に特徴があるという。
Colibriによる侵害は、他の多くのマルウェアと同様に悪意のあるWord文書から始まる。Word文書は悪意のあるマクロを含んだリモートテンプレートをロードする。このマクロはPowerShellを使用して最終的なペイロードをsetup.exeとしてダウンロードする。
特徴的なのは、その後の永続化の手順だという。ColibriはWindowsのバージョン別に異なるコマンドを使用してスケジュールされたタスクを作成する。その際、Windows 7ではColibriのパスを示すタスクが表示されるが、Windows 10では非表示のウィンドウでPowerShellが実行されるという。
ペイロードは、これと同時にGet-Variable.exeというPowerShellコマンドレットをWindowsAppsディレクトリに配置する。WindowsAppsはデフォルトでPowerShellが実行されるパスにあるため、PowerShell実行時にGet-Variableコマンドが実行されると、悪意のあるGet-Variable.exeファイルが実行されてしまう。この性質と前述のスケジュールされたタスクと組み合わせることで、Colibriの永続化が完了するという仕組みになっている。
Colibriはまだ誕生してまもないマルウェアであるものの、すでに攻撃機能を多く備えており、徐々に人気が高まっているとのこと。Malwarebytes Labsは、侵害の特定に有効なIOC(侵害の痕跡)などを含む詳細な情報が掲載されている。