Το νέο σταγονόμετρο PindOS JavaScript αναπτύσσει κακόβουλο λογισμικό Bumblebee, IcedID
Related Posts
Οι ερευνητές ασφαλείας ανακάλυψαν ένα νέο κακόβουλο εργαλείο που ονόμασαν PindOS, το οποίο παρέχει το κακόβουλο λογισμικό Bumblebee και IcedID που συνήθως σχετίζεται με επιθέσεις
ransomware
.
Το PindOS είναι ένα απλό σταγονόμετρο κακόβουλου λογισμικού JavaScript που φαίνεται να έχει κατασκευαστεί ειδικά για να φέρει τα ωφέλιμα φορτία επόμενου σταδίου που παραδίδουν το τελικό ωφέλιμο φορτίο των εισβολέων.
Απλό σταγονόμετρο κακόβουλου λογισμικού JavaScript
Σε μια αναφορά από την εταιρεία κυβερνοασφάλειας DeepInstinct, οι ερευνητές σημειώνουν ότι το νέο dropper κακόβουλου λογισμικού PindOS έχει μόνο μία λειτουργία που συνοδεύεται από τέσσερις παραμέτρους για τη λήψη του ωφέλιμου φορτίου, είτε πρόκειται για το Bumblebee είτε για τον τραπεζικό trojan IcedID που μετέτρεψε τον φορτωτή κακόβουλου λογισμικού.
Το σταγονόμετρο JavaScript έρχεται σε ασαφή μορφή, αλλά μόλις αποκωδικοποιηθεί, αποκαλύπτει πόσο «εκπληκτικά απλό» είναι.
Η διαμόρφωσή του περιλαμβάνει την επιλογή ορισμού ενός παράγοντα χρήστη για λήψη ενός ωφέλιμου φορτίου DLL, δύο διευθύνσεων URL όπου είναι αποθηκευμένο το ωφέλιμο φορτίο (“URL1” και “URL2”) και την παράμετρο RunDLL για τη συνάρτηση εξαγωγής DLL ωφέλιμου φορτίου προς κλήση.
“Όταν εκτελεστεί, το dropper θα προσπαθήσει να κατεβάσει το ωφέλιμο φορτίο αρχικά από το URL1 και να το εκτελέσει καλώντας την καθορισμένη εξαγωγή απευθείας μέσω του rundll32.exe” –
DeepInstinct
Οι ερευνητές σημειώνουν ότι η δεύτερη παράμετρος URL είναι ένας πλεονασμός που χρησιμοποιεί το PindOS όταν δεν μπορεί να ανακτήσει το ωφέλιμο φορτίο από την πρώτη διεύθυνση URL και στη συνέχεια προσπαθεί να το εκτελέσει συνδυάζοντας εντολές PowerShell και το rundll.exe της
Microsoft
, το οποίο οι αντίπαλοι χρησιμοποιούν συχνά για την εκκίνηση κακόβουλου κώδικα.
Σταγονόμετρο κακόβουλου λογισμικού PindOS JavaScript
πηγή: DeepInstinct
Το PindOS πραγματοποιεί λήψη του ωφέλιμου φορτίου σε “
%appdata%/Microsoft/Templates/
” ως αρχείο DAT με έξι τυχαίους αριθμούς ως όνομα.
Τα δείγματα κακόβουλου λογισμικού δημιουργούνται “κατ’ απαίτηση”, λένε οι ερευνητές, επομένως καθένα από αυτά έχει διαφορετικό κατακερματισμό όταν ανακτάται. Αυτή είναι μια κοινή τακτική για την αποφυγή μηχανισμών ανίχνευσης που βασίζονται στην υπογραφή.
Ωστόσο, τα δείγματα γράφονται στο δίσκο και στην περίπτωση του Bumblebee αυτό είναι ένα βήμα πίσω από την εκτέλεση της μνήμης τους, καθιστώντας τα επιρρεπή στην ανίχνευση, παρά το διαφορετικό κατακερματισμό, λόγω άλλων δεικτών που σχετίζονται με το κακόβουλο λογισμικό.
Χαμηλό ποσοστό ανίχνευσης
Παρά την απλότητά του, το PindOS απολάμβανε πολύ χαμηλά ποσοστά ανίχνευσης όταν πρωτοεμφανίστηκε. Στις 20 Μαΐου, λιγότερες από πέντε μηχανές προστασίας από ιούς στο
Virus
Total επισήμαναν το JavaScript ως κακόβουλο.
Ποσοστό έγκαιρης ανίχνευσης PindOS
πηγή: DeepInstinct
Αν και τα περισσότερα από τα δείγματα που ανακάλυψε το DeepInstinct ανιχνεύονται τώρα από τουλάχιστον δύο δωδεκάδες προϊόντα στο Virus Total, ορισμένα από αυτά συνεχίζουν να είναι αόρατα στους περισσότερους κινητήρες, με μόλις έξι έως 14 από αυτά να αναφέρουν τον κακόβουλο κώδικα.
Προς το παρόν, δεν είναι σαφές εάν οι φορείς απειλών απλώς δοκιμάζουν τον τρόπο με τον οποίο το PindOS αντιμετωπίζει προϊόντα ασφαλείας ή εάν σκοπεύουν να το συμπεριλάβουν στην εργαλειοθήκη τους.
Όμως, δεδομένων των τελευταίων ρυθμών ανίχνευσης, έχει δείξει ότι μπορεί να γλιστρήσει αθόρυβα και να ρίξει ωφέλιμο φορτίο. Ακόμα κι αν οι χειριστές του Bumblebee ή του IcedID δεν το υιοθετήσουν, το PindOS μπορεί να γίνει πιο δημοφιλές σε άλλους παράγοντες απειλών.
