Se ha observado una nueva variedad de cuentagotas de JavaScript que ofrece cargas útiles de próxima etapa como Bumblebee e IcedID.
La firma de ciberseguridad Deep Instinct está rastreando el malware como Pind OSque contiene el nombre en su “Agente de usuario” cadena.
Tanto Bumblebee como IcedID sirven como cargadores, actuando como vector para otro malware en hosts comprometidos, incluido el ransomware. Un informe reciente de Proofpoint destacó el abandono de IcedID de las funciones de fraude bancario para centrarse únicamente en la entrega de malware.
Abejorroen particular, es un reemplazo para otro cargador llamado BazarLoader, que se ha atribuido a los ahora desaparecidos grupos TrickBot y Conti.
Un informe de Secureworks en abril de 2022 encontró evidencia de colaboración entre varios actores en el ecosistema del ciberdelito ruso, incluido el de Conti, Emotet e IcedID.
El análisis del código fuente de Deep Instinct de PindOS muestra que contiene comentarios en ruso, lo que plantea la posibilidad de una asociación continua entre los grupos de delitos electrónicos.
Descrito como un cargador “sorprendentemente simple”, está diseñado para descargar ejecutables maliciosos desde un servidor remoto. Hace uso de dos URL, una de las cuales funciona como respaldo en caso de que la primera URL no pueda obtener la carga útil de DLL.
“Las cargas útiles recuperadas se generan pseudoaleatoriamente ‘bajo demanda’, lo que da como resultado un nuevo hash de muestra cada vez que se recupera una carga útil”, los investigadores de seguridad Shaul Vilkomir-Preisman y Mark Vaitzman. dicho.
Los archivos DLL finalmente se inician usando rundll32.exeuna herramienta legítima de Windows para cargar y ejecutar archivos DLL.
“Queda por ver si PindOS es adoptado permanentemente por los actores detrás de Bumblebee e IcedID”, concluyeron los investigadores.
“Si este ‘experimento’ tiene éxito para cada uno de estos operadores de malware ‘acompañantes’, puede convertirse en una herramienta permanente en su arsenal y ganar popularidad entre otros actores de amenazas”.