Studiuesit e Deep Instinct kanë identifikuar një mjet të ri, të quajtur PindOS, i cili përdoret për të shpërndarë Bumblebee dhe IcedID, malware i njohur që përdoret për të instaluar ransomware në kompjuterët e viktimave. Është një dropper JavaScript që nuk zbulohet lehtë nga zgjidhjet e sigurisë, ndryshe nga skriptet PowerShell.
PindOS: dropper pothuajsei padukshëm
Kodi JavaScript i PindOS është i turbullt. Pas dekodimit të tij, studiuesit zbuluan praninë e një funksioni të vetëm ekzekutiv me katër parametra: UserAgent, URL1, URL2 dhe RunDLL. Kur ekzekutohet, dropper përpiqet të shkarkojë ngarkesën nga adresa URL1 dhe ta ekzekutojë atë nëpërmjet rundll.exe (RunDLL).
Përndryshe shkarkoni nga adresa URL2 dhe ekzekutoni ngarkesën me rundll.exe dhe PowerShell. Funksioni i mësipërm thirret dy herë për të shkarkuar Bumblebee dhe IcedID, të kopjuar në directory %appdata%/Microsoft/Templates/ si skedarë me shtesën .dat.
Në rastin e Bumblebee, përdoret një teknikë më e keqe se ajo e mëparshme. Malware zakonisht fshihet në arkivat ZIP ose imazhet ISO, ndërsa DLL-ja e tij ngarkohet drejtpërdrejt në memorie. Në këtë rast, PindOS kopjon DLL-në në disk (skedarin .dat), duke lënë kështu gjurmë të dukshme.
Bumblebee u zhvillua nga grupi Conti për të zëvendësuar BazarLoader. Përdoret si ngarkues për malware të tjerë, duke përfshirë ransomware. IcedID ishte fillimisht një trojan bankar modular. Versionet e fundit kanë hequr veçoritë e trojanit dhe kanë shtuar veçoritë e ngarkuesit. Prandaj është e qartë se mjetet e përdorura nga kriminelët kibernetikë po evoluojnë vazhdimisht.
Discussion about this post