PindOS Dropper JavaScript Powerfull Mendistribusikan Bumblebee dan IcedID Malware
The Hacker News
Cyberthreat.id - Strain baru dropper JavaScript telah diamati memberikan muatan tahap berikutnya seperti Bumblebee dan IcedID. Perusahaan keamanan siber Deep Instinct melacak malware sebagai PindOS, yang berisi nama dalam string "User-Agent".
The Hacker News menambahkan bahwa, baik Bumblebee dan IcedID berfungsi sebagai pemuat, bertindak sebagai vektor untuk malware lain di host yang disusupi, termasuk ransomware. “Sebuah laporan baru-baru ini dari Proofpoint menyoroti pengabaian fitur penipuan perbankan oleh IcedID untuk hanya fokus pada pengiriman malware.”
Bumblebee, khususnya, adalah pengganti loader lain yang disebut BazarLoader, yang dikaitkan dengan grup TrickBot dan Conti yang sekarang sudah tidak berfungsi.
Sebuah laporan dari Secureworks pada April 2022 menemukan bukti kolaborasi antara beberapa aktor dalam ekosistem kejahatan dunia maya Rusia, termasuk Conti, Emotet, dan IcedID.
Analisis kode sumber PindOS oleh Deep Instinct menunjukkan bahwa PindOS berisi komentar dalam bahasa Rusia, meningkatkan kemungkinan kemitraan lanjutan antara kelompok kejahatan elektronik.
Digambarkan sebagai pemuat yang "sangat sederhana", ini dirancang untuk mengunduh file yang dapat dieksekusi berbahaya dari server jarak jauh. Itu menggunakan dua URL, salah satunya berfungsi sebagai fallback jika URL pertama gagal mengambil muatan DLL.
"Payload yang diambil dihasilkan pseudo-acak 'on-demand' yang menghasilkan hash sampel baru setiap kali payload diambil," kata peneliti keamanan Shaul Vilkomir-Preisman dan Mark Vaitzman.
File DLL pada akhirnya diluncurkan menggunakan rundll32.exe, alat Windows yang sah untuk memuat dan menjalankan DLL.
"Apakah PindOS diadopsi secara permanen oleh aktor di belakang Bumblebee dan IcedID masih harus dilihat," para peneliti menyimpulkan.
"Jika 'eksperimen' ini berhasil untuk masing-masing operator malware 'pendamping' ini, ini mungkin menjadi alat permanen di gudang senjata mereka dan mendapatkan popularitas di antara pelaku ancaman lainnya."[]
