Търсене
Close this search box.

Наблюдаван е нов щам на JavaScript дропър, който доставя товари на следващ етап като Bumblebee и IcedID.

Фирмата за киберсигурност Deep Instinct проследява зловредния софтуер като PindOS, който съдържа името в своя низ „User-Agent“.

Както Bumblebee, така и IcedID служат като зареждащи устройства, действащи като вектор за друг зловреден софтуер на компрометирани хостове, включително ransomware. В неотдавнашен доклад на Proofpoint се подчертава, че IcedID изоставя функциите за банкови измами, за да се съсредоточи единствено върху доставката на зловреден софтуер.

Bumblebee, по-специално, е заместител на друг зареждащ модул, наречен BazarLoader, който се приписва на вече несъществуващите групи TrickBot и Conti.

В доклад на Secureworks от април 2022 г. бяха открити доказателства за сътрудничество между няколко участници в руската екосистема за киберпрестъпност, включително тази на Conti, Emotet и IcedID.

Анализът на изходния код на PindOS, извършен от Deep Instinct, показва, че той съдържа коментари на руски език, което повишава възможността за продължаващо партньорство между групите за електронна престъпност.

Описван като „изненадващо прост“ зареждащ софтуер, той е предназначен за изтегляне на зловредни изпълними файлове от отдалечен сървър. Той използва два URL адреса, единият от които функционира като резервен, в случай че първият URL адрес не успее да изтегли полезния DLL товар.

„Изтеглените полезни товари се генерират псевдослучайно „при поискване“, което води до нов хеш на извадката всеки път, когато се извлича полезен товар“, казват изследователите по сигурността Шаул Вилкомир-Прейсман и Марк Вайцман.

В крайна сметка DLL файловете се стартират с помощта на rundll32.exe – легитимен инструмент на Windows за зареждане и стартиране на DLL файлове.

„Предстои да видим дали PindOS ще бъде трайно възприета от участниците, стоящи зад Bumblebee и IcedID“, заключават изследователите.

„Ако този „експеримент“ е успешен за всеки от тези оператори на „придружаващ“ зловреден софтуер, той може да се превърне в постоянен инструмент в техния арсенал и да придобие популярност сред други  заплахи.“

 

Източник: The Hacker News

Подобни публикации

16 септември 2024

Може ли дълбоките технологии да бъдат следващия...

В началото на 2000-те години Естония бързо се модернизира, отърсвай...
16 септември 2024

Отборите от NFL блокират кибератаките в дигитал...

През изминалия уикенд Националната футболна лига стартира своя сезо...
16 септември 2024

Google прави големи разходи за технология за ул...

Технологичният гигант сключи нова сделка за  улавяне на 100 000 тон...
16 септември 2024

Всичко, което трябва да знаете за поредния проб...

Fortinet твърди, че няма доказателства за злонамерена дейност, насо...
16 септември 2024

Canva се похвали с новите си функции, след коет...

Цените на абонамента за Canva ще се повишат за корпоративните потре...
16 септември 2024

Уязвимостта на Windows злоупотребява с брайлови...

Неотдавна поправената уязвимост „Windows MSHTML spoofing vulnerabil...
15 септември 2024

Microsoft и Quantinuum комбинират HPC, AI и ква...

Технологичният гигант Microsoft и водещият разработчик на квантови ...
15 септември 2024

ФБР: Игнорирайте фалшивите твърдения за хакнати...

Федералното бюро за разследване (ФБР) и Агенцията за киберсигурност...
15 септември 2024

Кражби в режим на киоск

Кампания за зловреден софтуер използва необичайния метод на заключв...
Бъдете социални
Още по темата
12/09/2024

PIXHELL позволява прескачан...

Изследовател е представил подробности за нов...
12/09/2024

Пробив на KemperSports зас...

Тази седмица компанията за управление на...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
Последно добавени
16/09/2024

Може ли дълбоките технологи...

В началото на 2000-те години Естония...
16/09/2024

Отборите от NFL блокират ки...

През изминалия уикенд Националната футболна лига...
16/09/2024

Google прави големи разходи...

Технологичният гигант сключи нова сделка за ...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!