Наблюдаван е нов щам на JavaScript дропър, който доставя товари на следващ етап като Bumblebee и IcedID.

Фирмата за киберсигурност Deep Instinct проследява зловредния софтуер като PindOS, който съдържа името в своя низ „User-Agent“.

Както Bumblebee, така и IcedID служат като зареждащи устройства, действащи като вектор за друг зловреден софтуер на компрометирани хостове, включително ransomware. В неотдавнашен доклад на Proofpoint се подчертава, че IcedID изоставя функциите за банкови измами, за да се съсредоточи единствено върху доставката на зловреден софтуер.

Bumblebee, по-специално, е заместител на друг зареждащ модул, наречен BazarLoader, който се приписва на вече несъществуващите групи TrickBot и Conti.

В доклад на Secureworks от април 2022 г. бяха открити доказателства за сътрудничество между няколко участници в руската екосистема за киберпрестъпност, включително тази на Conti, Emotet и IcedID.

Анализът на изходния код на PindOS, извършен от Deep Instinct, показва, че той съдържа коментари на руски език, което повишава възможността за продължаващо партньорство между групите за електронна престъпност.

Описван като „изненадващо прост“ зареждащ софтуер, той е предназначен за изтегляне на зловредни изпълними файлове от отдалечен сървър. Той използва два URL адреса, единият от които функционира като резервен, в случай че първият URL адрес не успее да изтегли полезния DLL товар.

„Изтеглените полезни товари се генерират псевдослучайно „при поискване“, което води до нов хеш на извадката всеки път, когато се извлича полезен товар“, казват изследователите по сигурността Шаул Вилкомир-Прейсман и Марк Вайцман.

В крайна сметка DLL файловете се стартират с помощта на rundll32.exe – легитимен инструмент на Windows за зареждане и стартиране на DLL файлове.

„Предстои да видим дали PindOS ще бъде трайно възприета от участниците, стоящи зад Bumblebee и IcedID“, заключават изследователите.

„Ако този „експеримент“ е успешен за всеки от тези оператори на „придружаващ“ зловреден софтуер, той може да се превърне в постоянен инструмент в техния арсенал и да придобие популярност сред други  заплахи.“

 

Източник: The Hacker News

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
15/01/2025

Хакери измамиха 100 служите...

Службата на финансовия контрольор в Масачузетс...
06/01/2025

Фалшивите CAPTCHA атаки нар...

Експерти по сигурността предупреждават, че през...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!