Uma nova variante de dropper JavaScript foi observada entregando payloads de próxima geração, como Bumblebee e IcedID.
A empresa de segurança cibernética Deep Instinct está monitorando o malware como PindOS, que contém o nome em sua string "User-Agent".
Tanto Bumblebee quanto IcedID agem como carregadores, atuando como um vetor para outros malwares em hosts comprometidos, incluindo ransomware.
Um relatório recente da Proofpoint destacou o abandono das características de fraudes bancárias do IcedID para se concentrar exclusivamente na entrega de malwares.
Bumblebee, em particular, é um substituto para outro carregador chamado BazarLoader, que foi atribuído aos grupos TrickBot e Conti, agora extintos.
Um relatório da Secureworks em abril de 2022 encontrou evidências de colaboração entre vários atores no ecossistema de cibercrime russo, incluindo o Conti, Emotet e IcedID.
A análise de código-fonte da Deep Instinct do PindOS mostra que ele contém comentários em russo, levantando a possibilidade de uma parceria contínua entre os grupos de crimes eletrônicos.
Descrito como um carregador "surpreendentemente simples", ele é projetado para baixar executáveis maliciosos de um servidor remoto.
Ele usa dois URLs, sendo que um funciona como um fallback no caso do primeiro URL não conseguir buscar o payload DLL.
"Os payloads recuperados são gerados pseudoaleatoriamente 'on-demand', o que resulta em um novo hash de amostra cada vez que um payload é buscado", disseram os pesquisadores de segurança Shaul Vilkomir-Preisman e Mark Vaitzman.
Os arquivos DLL são finalmente lançados usando o rundll32.exe, uma ferramenta legítima do Windows para carregar e executar DLLs.
"Se PindOS será permanentemente adotado pelos atores por trás do Bumblebee e IcedID ainda está por ser visto", concluíram os pesquisadores.
"Se este 'experimento' for bem-sucedido para cada um desses operadores de malwares 'companheiros', ele pode se tornar uma ferramenta permanente em seu arsenal e ganhar popularidade entre outros atores de ameaças".
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...