К производству вредоноса со столь оригинальным названием явно имеют отношения русскоязычные хакеры.
Исследователи из компании Deep Instinct обнаружили новый вид JavaScript-дроппера, который доставляет на заражённые компьютеры вредоносные программы Bumblebee и IcedID.
Исследователи дали дропперу название «PindOS», являющееся результатом транслитерации другого слова, используемого в России и странах СНГ для пренебрежительного обращения к гражданам США. Разумеется, исследователи не сами придумали такое название, а взяли его из строки «User-Agent», которую вредонос использует для скачивания полезной нагрузки.
В коде дроппера также присутствует множество комментариев на русском языке, что также довольно толсто намекает на происхождение злоумышленников.
Bumblebee и IcedID являются загрузчиками, которые служат вектором для других видов вредоносных программ, в том числе вымогателей. Bumblebee был обнаружен в марте 2022 года и обычно связывается с группой Conti. Он является заменой для другого загрузчика под названием BazarLoader. IcedID же представляет из себя модульную банковскую вредоносную программу, предназначенная для кражи финансовой информации. Она существует с 2017 года, но недавно была замечена переквалификации на доставку вредоносных программ.
Раскрытая исследователями программа PindOS — это относительно простой дроппер, состоящий из одной функции «exec», которая имеет четыре параметра:
При выполнении дроппер пытается скачать полезную нагрузку сначала с URL1. Если это не удается, он обращается уже к URL2. Сохраняется полезная нагрузка в каталог «%APPDATA%/Microsoft/Templates» в виде файла с расширением «.dat», имеющим название, состоящее из 6 случайных чисел. Выполняется скачанная полезная нагрузка при помощи rundll32.exe, но в случае затруднений может задействовать и PowerShell.
«Извлеченные полезные нагрузки генерируются псевдослучайно "по требованию", что приводит к созданию нового образца хэша при каждом извлечении», — заявили исследователи.
Будет ли PindOS постоянно и дальше использоваться акторами, стоящими за распространением Bumblebee и IcedID, пока неизвестно. Если этот «эксперимент» окажется успешным для каждого из этих «сопутствующих» операторов вредоносных программ, он сможет стать постоянным инструментом в их арсенале и обрести популярность среди других злоумышленников.
Сбалансированная диета для серого вещества