I ricercatori di Deep Instinct hanno identificato un nuovo tool, denominato PindOS, che viene utilizzato per distribuire Bumblebee e IcedID, noti malware sfruttati per installare ransomware sul computer delle vittime. Si tratta di un dropper JavaScript che non viene facilmente rilevato dalle soluzioni di sicurezza, a differenza degli script PowerShell.
PindOS: dropper quasi invisibile
Il codice JavaScript di PindOS è offuscato. Dopo averlo decodificato, i ricercatori hanno scoperto la presenza di una singola funzione exec
con quattro parametri: UserAgent, URL1, URL2 e RunDLL. Quando eseguito, il dropper tenta di scaricare il payload dall’indirizzo URL1 e di eseguirlo tramite rundll.exe
(RunDLL).
In alternativa effettua il download dall’indirizzo URL2 ed esegue il payload con rundll.exe
e PowerShell. La suddetta funzione viene chiamata due volte per scaricare Bumblebee e IcedID, copiati nella directory %appdata%/Microsoft/Templates/
come file con estensione .dat
.
Nel caso di Bumblebee viene utilizzata una tecnica peggiore della precedente. Il malware viene solitamente nascosto in archivi ZIP o immagini ISO, mentre la sua DLL viene caricata direttamente in memoria. In questo caso, PindOS copia la DLL su disco (il file .dat
), quindi lascia tracce visibili.
Bumblebee è stato sviluppato dal gruppo Conti per sostituire BazarLoader. Viene usato come loader di altri malware, ransomware inclusi. IcedID era in origine un trojan bancario modulare. Nelle ultime versioni sono state rimosse le funzionalità di trojan e aggiunge quelle di loader. È quindi chiaro che i tool usati dai cybercriminali sono in continua evoluzione.