Bumblebee ve IcedID gibi sonraki aşama yüklerini sağlayan yeni bir JavaScript dropper türü gözlemlendi.
Siber güvenlik firması Deep Instinct, kötü amaçlı yazılımı şu şekilde izliyor: Pindos“User-Agent” dizesinde adı içeren.
Hem Bumblebee hem de IcedID, fidye yazılımı da dahil olmak üzere güvenliği ihlal edilmiş ana bilgisayarlardaki diğer kötü amaçlı yazılımlar için bir vektör görevi görerek yükleyici görevi görür. Proofpoint’ten yakın tarihli bir rapor, IcedID’nin yalnızca kötü amaçlı yazılım dağıtımına odaklanmak için bankacılık dolandırıcılık özelliklerini terk ettiğini vurguladı.
Bumblebee, özellikle artık feshedilmiş TrickBot ve Conti gruplarına atfedilen BazarLoader adlı başka bir yükleyicinin yerine geçiyor.
Nisan 2022’de Secureworks tarafından hazırlanan bir rapor, Conti, Emotet ve IcedID dahil olmak üzere Rus siber suç ekosistemindeki çeşitli aktörler arasında işbirliğine dair kanıtlar buldu.
Deep Instinct’in PindOS kaynak kodu analizi, e-suç grupları arasında devam eden bir ortaklık olasılığını artıran Rusça yorumlar içerdiğini gösteriyor.
“Şaşırtıcı derecede basit” bir yükleyici olarak tanımlanan bu program, uzak bir sunucudan kötü amaçlı yürütülebilir dosyaları indirmek için tasarlanmıştır. İlk URL’nin DLL yükünü getirememesi durumunda biri yedek olarak işlev gören iki URL kullanır.
Güvenlik araştırmacıları Shaul Vilkomir-Preisman ve Mark Vaitzman, “Geri alınan yükler, sözde rasgele ‘istek üzerine’ oluşturulur ve bu da her yük getirildiğinde yeni bir örnek karma ile sonuçlanır.”
DLL dosyaları sonuçta DLL’leri yüklemek ve çalıştırmak için meşru bir Windows aracı olan rundll32.exe kullanılarak başlatılır.
Araştırmacılar, “PindOS’un Bumblebee ve IcedID’nin arkasındaki aktörler tarafından kalıcı olarak benimsenip benimsenmediğini göreceğiz.”
“Bu ‘deneme’, bu ‘yardımcı’ kötü amaçlı yazılım operatörlerinin her biri için başarılı olursa cephaneliklerinde kalıcı bir araç haline gelebilir ve diğer tehdit aktörleri arasında popülerlik kazanabilir.”