- 13,850
- 20
- 8 Ноя 2022
К производству вредоноса со столь оригинальным названием явно имеют отношения русскоязычные хакеры.
Исследователи из компании Deep Instinct Для просмотра ссылки Войдиили Зарегистрируйся новый вид JavaScript -дроппера, который доставляет на заражённые компьютеры вредоносные программы Bumblebee и IcedID .
Исследователи дали дропперу название «PindOS», являющееся результатом транслитерации другого слова, используемого в России и странах СНГ для пренебрежительного обращения к гражданам США. Разумеется, исследователи не сами придумали такое название, а взяли его из строки «User-Agent», которую вредонос использует для скачивания полезной нагрузки.
В коде дроппера также присутствует множество комментариев на русском языке, что также довольно толсто намекает на происхождение злоумышленников.
Bumblebee и IcedID являются загрузчиками, которые служат вектором для других видов вредоносных программ, в том числе вымогателей. Bumblebee был обнаружен в марте 2022 года и обычно связывается с группой Conti. Он является заменой для другого загрузчика под названием BazarLoader. IcedID же представляет из себя модульную банковскую вредоносную программу, предназначенная для кражи финансовой информации. Она существует с 2017 года, но недавно была замечена переквалификации на доставку вредоносных программ.
Раскрытая исследователями программа PindOS — это относительно простой дроппер, состоящий из одной функции «exec», которая имеет четыре параметра:
«Извлеченные полезные нагрузки генерируются псевдослучайно "по требованию", что приводит к созданию нового образца хэша при каждом извлечении», — заявили исследователи.
Будет ли PindOS постоянно и дальше использоваться акторами, стоящими за распространением Bumblebee и IcedID, пока неизвестно. Если этот «эксперимент» окажется успешным для каждого из этих «сопутствующих» операторов вредоносных программ, он сможет стать постоянным инструментом в их арсенале и обрести популярность среди других злоумышленников.
Исследователи из компании Deep Instinct Для просмотра ссылки Войди
Исследователи дали дропперу название «PindOS», являющееся результатом транслитерации другого слова, используемого в России и странах СНГ для пренебрежительного обращения к гражданам США. Разумеется, исследователи не сами придумали такое название, а взяли его из строки «User-Agent», которую вредонос использует для скачивания полезной нагрузки.
В коде дроппера также присутствует множество комментариев на русском языке, что также довольно толсто намекает на происхождение злоумышленников.
Bumblebee и IcedID являются загрузчиками, которые служат вектором для других видов вредоносных программ, в том числе вымогателей. Bumblebee был обнаружен в марте 2022 года и обычно связывается с группой Conti. Он является заменой для другого загрузчика под названием BazarLoader. IcedID же представляет из себя модульную банковскую вредоносную программу, предназначенная для кражи финансовой информации. Она существует с 2017 года, но недавно была замечена переквалификации на доставку вредоносных программ.
Раскрытая исследователями программа PindOS — это относительно простой дроппер, состоящий из одной функции «exec», которая имеет четыре параметра:
- «UserAgent» — строка пользовательского агента для определения типа полезной нагрузки;
- «URL1» — первый адрес для скачивания;
- «URL2» — второй адрес для скачивания;
- «RunDLL» — экспортированная функция вызова полезной нагрузки.
«Извлеченные полезные нагрузки генерируются псевдослучайно "по требованию", что приводит к созданию нового образца хэша при каждом извлечении», — заявили исследователи.
Будет ли PindOS постоянно и дальше использоваться акторами, стоящими за распространением Bumblebee и IcedID, пока неизвестно. Если этот «эксперимент» окажется успешным для каждого из этих «сопутствующих» операторов вредоносных программ, он сможет стать постоянным инструментом в их арсенале и обрести популярность среди других злоумышленников.
- Источник новости
- www.securitylab.ru
