Ένα νέο στέλεχος του JavaScript dropper έχει παρατηρηθεί να παραδίδει ωφέλιμα φορτία επόμενου σταδίου, όπως το Bumblebee και το IcedID.
Η εταιρεία κυβερνοασφάλειας Deep Instinct παρακολουθεί το κακόβουλο λογισμικό που είναι γνωστό ως PindOS, το οποίο περιέχει το όνομά του στη συμβολοσειρά “User-Agent”.
Τόσο το Bumblebee όσο και το IcedID χρησιμεύουν ως loaders, ενεργώντας ως φορείς για άλλο κακόβουλο λογισμικό σε μολυσμένους υπολογιστές, συμπεριλαμβανομένου του ransomware. Μια πρόσφατη έκθεση από την Proofpoint υπογράμμισε την εγκατάλειψη από το IcedID των χαρακτηριστικών τραπεζικής απάτης προκειμένου να επικεντρωθεί αποκλειστικά στην παράδοση κακόβουλου λογισμικού.
Το Bumblebee, συγκεκριμένα, είναι ένας αντικαταστάτης ενός άλλου φορτωτή που ονομάζεται BazarLoader και έχει αποδοθεί στις ομάδες TrickBot και Conti που έχουν πλέον καταργηθεί.
Μια έκθεση της Secureworks τον Απρίλιο του 2022 διαπίστωσε στοιχεία συνεργασίας μεταξύ διαφόρων φορέων στο ρωσικό οικοσύστημα κυβερνοεγκλήματος, συμπεριλαμβανομένων των Conti, Emotet και IcedID.
Η ανάλυση του πηγαίου κώδικα του PindOS από την Deep Instinct αποκαλύπτει ότι περιέχει σχόλια στα ρωσικά, γεγονός που αυξάνει την πιθανότητα συνέχισης της συνεργασίας μεταξύ των ομάδων ηλεκτρονικού εγκλήματος.
Περιγράφεται ως ένας “εκπληκτικά απλός” loader και έχει σχεδιαστεί για να κατεβάζει κακόβουλα εκτελέσιμα αρχεία από έναν απομακρυσμένο διακομιστή. Χρησιμοποιεί δύο διευθύνσεις URL, εκ των οποίων η μία λειτουργεί ως εφεδρική λύση σε περίπτωση που η πρώτη διεύθυνση URL αποτύχει να αντλήσει το ωφέλιμο φορτίο DLL.
Δείτε επίσης: Κινέζοι χάκερ μόλυναν κατά λάθος ένα ευρωπαϊκό νοσοκομείο με malware
Τα αρχεία DLL εκκινούνται τελικά χρησιμοποιώντας το “rundll32.exe”, ένα νόμιμο εργαλείο των Windows για τη φόρτωση και την εκτέλεση DLL.
“Το αν το PindOS θα υιοθετηθεί μόνιμα από τους φορείς που βρίσκονται πίσω από το Bumblebee και το IcedID μένει να το δούμε”, κατέληξαν οι ερευνητές.
“Εάν αυτό το “πείραμα” είναι επιτυχές για κάθε έναν από αυτούς τους χειριστές κακόβουλου λογισμικού, μπορεί να γίνει ένα μόνιμο εργαλείο στο οπλοστάσιό τους και να αποκτήσει δημοτικότητα μεταξύ άλλων απειλητικών φορέων”.
Πηγή πληροφοριών: thehackernews.com
