Търсене
Close this search box.

Мощният JavaScript Dropper PindOS

Наблюдаван е нов щам на JavaScript дропър, който доставя товари на следващ етап като Bumblebee и IcedID.

Фирмата за киберсигурност Deep Instinct проследява зловредния софтуер като PindOS, който съдържа името в своя низ „User-Agent“.

Както Bumblebee, така и IcedID служат като зареждащи устройства, действащи като вектор за друг зловреден софтуер на компрометирани хостове, включително ransomware. В неотдавнашен доклад на Proofpoint се подчертава, че IcedID изоставя функциите за банкови измами, за да се съсредоточи единствено върху доставката на зловреден софтуер.

Bumblebee, по-специално, е заместител на друг зареждащ модул, наречен BazarLoader, който се приписва на вече несъществуващите групи TrickBot и Conti.

В доклад на Secureworks от април 2022 г. бяха открити доказателства за сътрудничество между няколко участници в руската екосистема за киберпрестъпност, включително тази на Conti, Emotet и IcedID.

Анализът на изходния код на PindOS, извършен от Deep Instinct, показва, че той съдържа коментари на руски език, което повишава възможността за продължаващо партньорство между групите за електронна престъпност.

Описван като „изненадващо прост“ зареждащ софтуер, той е предназначен за изтегляне на зловредни изпълними файлове от отдалечен сървър. Той използва два URL адреса, единият от които функционира като резервен, в случай че първият URL адрес не успее да изтегли полезния DLL товар.

„Изтеглените полезни товари се генерират псевдослучайно „при поискване“, което води до нов хеш на извадката всеки път, когато се извлича полезен товар“, казват изследователите по сигурността Шаул Вилкомир-Прейсман и Марк Вайцман.

В крайна сметка DLL файловете се стартират с помощта на rundll32.exe – легитимен инструмент на Windows за зареждане и стартиране на DLL файлове.

„Предстои да видим дали PindOS ще бъде трайно възприета от участниците, стоящи зад Bumblebee и IcedID“, заключават изследователите.

„Ако този „експеримент“ е успешен за всеки от тези оператори на „придружаващ“ зловреден софтуер, той може да се превърне в постоянен инструмент в техния арсенал и да придобие популярност сред други  заплахи.“

 

Източник: The Hacker News

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
Бъдете социални
Още по темата
16/05/2024

Ascension Healthcare претър...

Атаката прекъсна достъпа до електронните здравни...
14/05/2024

Цифровият живот след смъртт...

Специалистите по етика на изкуствения интелект...
12/05/2024

CISA: рансъмуерът Black Bas...

CISA и ФБР съобщиха днес, че...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!