Ngày 23 tháng 6 năm 2023Ravie LakshmananPhần mềm độc hại / Mối đe dọa mạng
Một dòng JavaScript dropper mới đã được quan sát thấy cung cấp các tải trọng giai đoạn tiếp theo như Bumblebee và IcedID.
Công ty an ninh mạng Deep Instinct đang theo dõi phần mềm độc hại như PindOSchứa tên trong chuỗi “Tác nhân người dùng” của nó.
Cả Bumblebee và IcedID đều đóng vai trò là trình tải, hoạt động như một vectơ cho phần mềm độc hại khác trên các máy chủ bị xâm nhập, bao gồm cả phần mềm tống tiền. Một báo cáo gần đây từ Proofpoint đã nhấn mạnh việc IcedID từ bỏ các tính năng gian lận ngân hàng để chỉ tập trung vào phân phối phần mềm độc hại.
Bumblebee, đáng chú ý, là sự thay thế cho một trình tải khác có tên là BazarLoader, được cho là do các nhóm TrickBot và Conti hiện không còn tồn tại.
Một báo cáo từ Secureworks vào tháng 4 năm 2022 đã tìm thấy bằng chứng về sự hợp tác giữa một số tác nhân trong hệ sinh thái tội phạm mạng của Nga, bao gồm cả Conti, Emotet và IcedID.
Phân tích mã nguồn PindOS của Deep Instinct cho thấy nó chứa các bình luận bằng tiếng Nga, làm tăng khả năng tiếp tục hợp tác giữa các nhóm tội phạm điện tử.
Được mô tả là một trình tải “đơn giản một cách đáng ngạc nhiên”, nó được thiết kế để tải xuống các tệp thực thi độc hại từ một máy chủ từ xa. Nó sử dụng hai URL, một trong số đó có chức năng dự phòng trong trường hợp URL đầu tiên không tìm nạp được tải trọng DLL.
Các nhà nghiên cứu bảo mật Shaul Vilkomir-Preisman và Mark Vaitzman cho biết: “Các tải trọng đã truy xuất được tạo giả ngẫu nhiên ‘theo yêu cầu', dẫn đến một hàm băm mẫu mới mỗi khi tải trọng được tải xuống”.
Các tệp DLL cuối cùng được khởi chạy bằng rundll32.exe, một công cụ hợp pháp của Windows để tải và chạy các tệp DLL.
Các nhà nghiên cứu kết luận: “Liệu PindOS có được các tác nhân đằng sau Bumblebee và IcedID áp dụng vĩnh viễn hay không vẫn còn phải chờ xem”.
“Nếu ‘thử nghiệm' này thành công đối với từng kẻ khai thác phần mềm độc hại ‘đồng hành' này, nó có thể trở thành một công cụ lâu dài trong kho vũ khí của chúng và trở nên phổ biến trong số các tác nhân đe dọa khác.”
