Güvenlik araştırmacıları, PindOS adını verdikleri ve genellikle fidye yazılımı saldırılarıyla ilişkilendirilen Bumblebee ve IcedID kötü amaçlı yazılımlarını dağıtan yeni bir kötü amaçlı araç keşfettiler.
PindOS, saldırganların son yükünü teslim eden bir sonraki aşama yüklerini getirmek için özel olarak oluşturulmuş gibi görünen basit bir JavaScript kötü amaçlı yazılım yükleyicisidir.
Basit JavaScript kötü amaçlı yazılım damlatıcısı
Siber güvenlik şirketi DeepInstinct’in bir raporunda araştırmacılar, yeni PindOS kötü amaçlı yazılım düşürücünün, yükü indirmek için dört parametreyle gelen yalnızca bir işleve sahip olduğuna dikkat çekiyor: Bumblebee veya kötü amaçlı yazılım yükleyiciye dönüşen IcedID bankacılık truva atı.
JavaScript damlalığı karmaşık bir biçimde gelir, ancak kodu bir kez çözüldüğünde, ne kadar “şaşırtıcı derecede basit” olduğunu ortaya çıkarır.
Yapılandırması, bir DLL yükünü indirmek için bir kullanıcı aracısı tanımlama seçeneğini, yükün depolandığı iki URL’yi (“URL1” ve “URL2”) ve çağrılacak yük DLL’si dışa aktarılan işlevi için RunDLL parametresini içerir.
“Yürütüldüğünde, damlalık, yükü başlangıçta URL1’den indirmeye çalışacak ve doğrudan rundll32.exe aracılığıyla belirtilen dışa aktarmayı çağırarak yürütecektir” – DeepInstinct
Araştırmacılar, ikinci URL parametresinin, PindOS’un ilk URL’den yükü alamadığında kullandığı bir fazlalık olduğunu ve ardından, düşmanların kötü amaçlı kod başlatmak için sıklıkla kullandığı PowerShell komutları ile Microsoft’un rundll.exe’sini birleştirerek yürütmeye çalıştığını belirtiyor.
PindOS, yükü “%appdata%/Microsoft/Şablonlar/”, ad olarak altı rasgele sayı içeren bir DAT dosyası olarak.
Araştırmacılar, kötü amaçlı yazılım örneklerinin “istek üzerine” üretildiğini, dolayısıyla her birinin alındığında farklı bir hash değerine sahip olduğunu söylüyor. Bu, imza tabanlı algılama mekanizmalarından kaçınmak için yaygın bir taktiktir.
Bununla birlikte, örnekler diske yazılır ve Bumblebee söz konusu olduğunda bu, onları belleği yürütmekten bir adım geriye gider ve bu nedenle, kötü amaçlı yazılımla ilişkili diğer belirteçler nedeniyle farklı hash değerlerine rağmen onları tespit edilmeye açık hale getirir.
Düşük tespit oranı
Basitliğine rağmen, PindOS ilk ortaya çıktığında çok düşük algılama oranlarına sahipti. 20 Mayıs’ta Virus Total’de beşten az antivirüs motoru, JavaScript’i kötü amaçlı olarak işaretledi.
DeepInstinct’in keşfettiği örneklerin çoğu şu anda Virus Total’de en az iki düzine ürün tarafından algılansa da, bazıları çoğu motor tarafından görünmez olmaya devam ediyor ve bunlardan altı ila 14 kadar azı kötü amaçlı kodu bildiriyor.
Tehdit aktörlerinin PindOS’un güvenlik ürünlerine karşı nasıl bir performans gösterdiğini test edip etmediği veya onu araç setlerine dahil etmeyi planlayıp planlamadığı şu anda net değil.
Ancak en son algılama oranları göz önüne alındığında, sessizce içeri girip yükleri bırakabileceğini göstermiştir. Bumblebee veya IcedID operatörleri bunu benimsemese bile, PindOS diğer tehdit aktörleri arasında daha popüler hale gelebilir.