Новости Трояны Bumblebee и IcedID закорешились с JavaScript-курьером PindOS

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.099
Репутация
11.695
Реакции
61.889
RUB
50
Исследователи из Deep Instinct обнаружили неизвестного ранее JavaScript-дроппера.


В настоящее время новобранец, которому было присвоено имя PindOS (по строке User-Agent) используется для доставки троянов Bumblebee и IcedID. Вредоносный загрузчик Bumblebee ранее полагался на скрипты PowerShell, помогавшие извлечь и запустить целевую DLL; переход на JavaScript может означать существенное изменение устоявшихся техник и тактик.

Троян IcedID долгое время работал банкером, но недавно перепрофилировался и теперь тоже служит проводником для других зловредов.

pindos_dropper_news.png


Их новый партнер PindOS после деобфускации оказался весьма примитивным лоадером.

Его единственная функция exec принимает четыре параметра:

- UserAgent — строка, используемая при загрузке целевой DLL;

- URL1 — основной адрес для загрузки;

- URL2 — резервный адрес для загрузки;

- RunDLL — экспортируемая функция DLL, подлежащая вызову.

Загруженный пейлоад сохраняется в папке шаблонов пользователей Windows как файл .dat с произвольным именем (шестизначное число). Его запуск осуществляется с помощью rundll32.exe. Примечательно, что получаемая полезная нагрузка генерируется по запросу и псевдослучайным образом, то есть каждый раз создается новый хеш.

Подобная уловка обычно используется для обхода сигнатурных средств защиты, однако в случае с Bumblebee этот трюк, по словам экспертов, не дает искомого эффекта.

 
Сверху Снизу