Мощният JavaScript Dropper PindOS

Наблюдаван е нов щам на JavaScript дропър, който доставя товари на следващ етап като Bumblebee и IcedID.

Фирмата за киберсигурност Deep Instinct проследява зловредния софтуер като PindOS, който съдържа името в своя низ „User-Agent“.

Както Bumblebee, така и IcedID служат като зареждащи устройства, действащи като вектор за друг зловреден софтуер на компрометирани хостове, включително ransomware. В неотдавнашен доклад на Proofpoint се подчертава, че IcedID изоставя функциите за банкови измами, за да се съсредоточи единствено върху доставката на зловреден софтуер.

Bumblebee, по-специално, е заместител на друг зареждащ модул, наречен BazarLoader, който се приписва на вече несъществуващите групи TrickBot и Conti.

В доклад на Secureworks от април 2022 г. бяха открити доказателства за сътрудничество между няколко участници в руската екосистема за киберпрестъпност, включително тази на Conti, Emotet и IcedID.

Анализът на изходния код на PindOS, извършен от Deep Instinct, показва, че той съдържа коментари на руски език, което повишава възможността за продължаващо партньорство между групите за електронна престъпност.

Описван като „изненадващо прост“ зареждащ софтуер, той е предназначен за изтегляне на зловредни изпълними файлове от отдалечен сървър. Той използва два URL адреса, единият от които функционира като резервен, в случай че първият URL адрес не успее да изтегли полезния DLL товар.

„Изтеглените полезни товари се генерират псевдослучайно „при поискване“, което води до нов хеш на извадката всеки път, когато се извлича полезен товар“, казват изследователите по сигурността Шаул Вилкомир-Прейсман и Марк Вайцман.

В крайна сметка DLL файловете се стартират с помощта на rundll32.exe – легитимен инструмент на Windows за зареждане и стартиране на DLL файлове.

„Предстои да видим дали PindOS ще бъде трайно възприета от участниците, стоящи зад Bumblebee и IcedID“, заключават изследователите.

„Ако този „експеримент“ е успешен за всеки от тези оператори на „придружаващ“ зловреден софтуер, той може да се превърне в постоянен инструмент в техния арсенал и да придобие популярност сред други  заплахи.“

 

Източник: The Hacker News

Подобни публикации

4 октомври 2023

Киберсигурността: ключов фактор за настоящето и...

Месецът за повишаване на осведомеността за киберсигурността се отбе...
4 октомври 2023

Моделите на PyTorch са уязвими за изпълнение на...

Изследователи в областта на киберсигурността са разкрили множество ...
4 октомври 2023

Qualcomm издава кръпка за 3 нови нулеви дни

Производителят на чипове Qualcomm пусна актуализации за сигурност, ...
4 октомври 2023

Над 3 дузини зловредни пакети npm са насочени к...

Според констатации на Fortinet FortiGuard Labs в хранилището за пак...
4 октомври 2023

Милиони мейл сървъри на Exim са изложени на zer...

Критична уязвимост от типа „нулев ден“ във всички верси...
3 октомври 2023

Cyber Security Talks Bulgaria – ОКТОМВРИ 2023

На 10.10.2023 г. във Висшето военноморско училище в гр. Варна ще се...
Бъдете социални
Още по темата
03/10/2023

Новият ASMCrypt Malware Loa...

Киберпрестъпници продават нов софтуер за криптиране...
02/10/2023

Motel One призна нарушение ...

Групата Motel One обяви, че е...
01/10/2023

Нова атака на Marvin съживя...

Недостатък, свързан с подложката PKCS #1...
Последно добавени
04/10/2023

Киберсигурността: ключов фа...

Месецът за повишаване на осведомеността за...
04/10/2023

Моделите на PyTorch са уязв...

Изследователи в областта на киберсигурността са...
04/10/2023

Qualcomm издава кръпка за 3...

Производителят на чипове Qualcomm пусна актуализации...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!