Um poderoso dropper JavaScript distribui malware Bumblebee e IcedID PindOS
23 de Junho de 2023

Uma nova variante de dropper JavaScript foi observada entregando payloads de próxima geração, como Bumblebee e IcedID.

A empresa de segurança cibernética Deep Instinct está monitorando o malware como PindOS, que contém o nome em sua string "User-Agent".

Tanto Bumblebee quanto IcedID agem como carregadores, atuando como um vetor para outros malwares em hosts comprometidos, incluindo ransomware.

Um relatório recente da Proofpoint destacou o abandono das características de fraudes bancárias do IcedID para se concentrar exclusivamente na entrega de malwares.

Bumblebee, em particular, é um substituto para outro carregador chamado BazarLoader, que foi atribuído aos grupos TrickBot e Conti, agora extintos.

Um relatório da Secureworks em abril de 2022 encontrou evidências de colaboração entre vários atores no ecossistema de cibercrime russo, incluindo o Conti, Emotet e IcedID.

A análise de código-fonte da Deep Instinct do PindOS mostra que ele contém comentários em russo, levantando a possibilidade de uma parceria contínua entre os grupos de crimes eletrônicos.

Descrito como um carregador "surpreendentemente simples", ele é projetado para baixar executáveis maliciosos de um servidor remoto.

Ele usa dois URLs, sendo que um funciona como um fallback no caso do primeiro URL não conseguir buscar o payload DLL.

"Os payloads recuperados são gerados pseudoaleatoriamente 'on-demand', o que resulta em um novo hash de amostra cada vez que um payload é buscado", disseram os pesquisadores de segurança Shaul Vilkomir-Preisman e Mark Vaitzman.

Os arquivos DLL são finalmente lançados usando o rundll32.exe, uma ferramenta legítima do Windows para carregar e executar DLLs.

"Se PindOS será permanentemente adotado pelos atores por trás do Bumblebee e IcedID ainda está por ser visto", concluíram os pesquisadores.

"Se este 'experimento' for bem-sucedido para cada um desses operadores de malwares 'companheiros', ele pode se tornar uma ferramenta permanente em seu arsenal e ganhar popularidade entre outros atores de ameaças".

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...