Наблюдаван е нов щам на JavaScript дропър, който доставя товари на следващ етап като Bumblebee и IcedID.
Фирмата за киберсигурност Deep Instinct проследява зловредния софтуер като PindOS, който съдържа името в своя низ „User-Agent“.
Както Bumblebee, така и IcedID служат като зареждащи устройства, действащи като вектор за друг зловреден софтуер на компрометирани хостове, включително ransomware. В неотдавнашен доклад на Proofpoint се подчертава, че IcedID изоставя функциите за банкови измами, за да се съсредоточи единствено върху доставката на зловреден софтуер.
Bumblebee, по-специално, е заместител на друг зареждащ модул, наречен BazarLoader, който се приписва на вече несъществуващите групи TrickBot и Conti.
В доклад на Secureworks от април 2022 г. бяха открити доказателства за сътрудничество между няколко участници в руската екосистема за киберпрестъпност, включително тази на Conti, Emotet и IcedID.
Анализът на изходния код на PindOS, извършен от Deep Instinct, показва, че той съдържа коментари на руски език, което повишава възможността за продължаващо партньорство между групите за електронна престъпност.
Описван като „изненадващо прост“ зареждащ софтуер, той е предназначен за изтегляне на зловредни изпълними файлове от отдалечен сървър. Той използва два URL адреса, единият от които функционира като резервен, в случай че първият URL адрес не успее да изтегли полезния DLL товар.
„Изтеглените полезни товари се генерират псевдослучайно „при поискване“, което води до нов хеш на извадката всеки път, когато се извлича полезен товар“, казват изследователите по сигурността Шаул Вилкомир-Прейсман и Марк Вайцман.
В крайна сметка DLL файловете се стартират с помощта на rundll32.exe – легитимен инструмент на Windows за зареждане и стартиране на DLL файлове.
„Предстои да видим дали PindOS ще бъде трайно възприета от участниците, стоящи зад Bumblebee и IcedID“, заключават изследователите.
„Ако този „експеримент“ е успешен за всеки от тези оператори на „придружаващ“ зловреден софтуер, той може да се превърне в постоянен инструмент в техния арсенал и да придобие популярност сред други заплахи.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.