Трояны Bumblebee и IcedID закорешились с JavaScript-курьером PindOS

Пулитцер

Команда форума
Журналист
Регистрация
Сообщения
1 253
Реакции
112
Исследователи из Deep Instinct обнаружили неизвестного ранее JavaScript-дроппера.


В настоящее время новобранец, которому было присвоено имя PindOS (по строке User-Agent) используется для доставки троянов Bumblebee и IcedID. Вредоносный загрузчик Bumblebee ранее полагался на скрипты PowerShell, помогавшие извлечь и запустить целевую DLL; переход на JavaScript может означать существенное изменение устоявшихся техник и тактик.

Троян IcedID долгое время работал банкером, но недавно перепрофилировался и теперь тоже служит проводником для других зловредов.

Их новый партнер PindOS после деобфускации оказался весьма примитивным лоадером.

Его единственная функция exec принимает четыре параметра:

- UserAgent — строка, используемая при загрузке целевой DLL;

- URL1 — основной адрес для загрузки;

- URL2 — резервный адрес для загрузки;

- RunDLL — экспортируемая функция DLL, подлежащая вызову.

Загруженный пейлоад сохраняется в папке шаблонов пользователей Windows как файл .dat с произвольным именем (шестизначное число). Его запуск осуществляется с помощью rundll32.exe. Примечательно, что получаемая полезная нагрузка генерируется по запросу и псевдослучайным образом, то есть каждый раз создается новый хеш.

Подобная уловка обычно используется для обхода сигнатурных средств защиты, однако в случае с Bumblebee этот трюк, по словам экспертов, не дает искомого эффекта.
 

maxmicromax

Начинающий
Регистрация
Сообщения
11
Реакции
0
прикольно и грамотно продумано, но ник PindOS уже говорит само за себя XD
 

Дядя

Начинающий
Регистрация
Сообщения
11
Реакции
0
Не люблю Трояны. PindOS забавно.
 
Сверху