Um poderoso dropper JavaScript distribui malware Bumblebee e IcedID PindOS
23 de Junho de 2023

Uma nova variante de dropper JavaScript foi observada entregando payloads de próxima geração, como Bumblebee e IcedID.

A empresa de segurança cibernética Deep Instinct está monitorando o malware como PindOS, que contém o nome em sua string "User-Agent".

Tanto Bumblebee quanto IcedID agem como carregadores, atuando como um vetor para outros malwares em hosts comprometidos, incluindo ransomware.

Um relatório recente da Proofpoint destacou o abandono das características de fraudes bancárias do IcedID para se concentrar exclusivamente na entrega de malwares.

Bumblebee, em particular, é um substituto para outro carregador chamado BazarLoader, que foi atribuído aos grupos TrickBot e Conti, agora extintos.

Um relatório da Secureworks em abril de 2022 encontrou evidências de colaboração entre vários atores no ecossistema de cibercrime russo, incluindo o Conti, Emotet e IcedID.

A análise de código-fonte da Deep Instinct do PindOS mostra que ele contém comentários em russo, levantando a possibilidade de uma parceria contínua entre os grupos de crimes eletrônicos.

Descrito como um carregador "surpreendentemente simples", ele é projetado para baixar executáveis maliciosos de um servidor remoto.

Ele usa dois URLs, sendo que um funciona como um fallback no caso do primeiro URL não conseguir buscar o payload DLL.

"Os payloads recuperados são gerados pseudoaleatoriamente 'on-demand', o que resulta em um novo hash de amostra cada vez que um payload é buscado", disseram os pesquisadores de segurança Shaul Vilkomir-Preisman e Mark Vaitzman.

Os arquivos DLL são finalmente lançados usando o rundll32.exe, uma ferramenta legítima do Windows para carregar e executar DLLs.

"Se PindOS será permanentemente adotado pelos atores por trás do Bumblebee e IcedID ainda está por ser visto", concluíram os pesquisadores.

"Se este 'experimento' for bem-sucedido para cada um desses operadores de malwares 'companheiros', ele pode se tornar uma ferramenta permanente em seu arsenal e ganhar popularidade entre outros atores de ameaças".

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...