New PindOS JavaScript dropper deploys Bumblebee, IcedID malware
นักวิจัยด้านความปลอดภัยค้นพบเครื่องมืออันตรายตัวใหม่ที่พวกเขาตั้งชื่อว่า PindOS ซึ่งส่งมัลแวร์ Bumblebee และ IcedID ที่มักเกี่ยวข้องกับการโจมตีแรนซัมแวร์ โดย PindOS เป็น Dropper มัลแวร์ JavaScript แบบธรรมดาที่ดูเหมือนจะสร้างขึ้นโดยเฉพาะเพื่อดึงเพย์โหลดขั้นต่อไปที่ส่งเพย์โหลดสุดท้ายของผู้โจมตี ในรายงานจาก DeepInstinct ซึ่งเป็นบริษัทด้านความปลอดภัยทางไซเบอร์ นักวิจัยระบุว่า Dropper มัลแวร์ PindOS ตัวใหม่นี้มีฟังก์ชันเดียวที่มาพร้อมกับพารามิเตอร์ 4 ตัวสำหรับการดาวน์โหลดเพย์โหลด ไม่ว่าจะเป็น Bumblebee, banking trojan, IcedID โดย Dropper ของ JavaScript นั้นมีรูปแบบที่คลุมเครือ แต่เมื่อถอดรหัสแล้วจะเผยให้เห็นว่าไม่ได้มีความซับซ้อนแต่อย่างใด
การกำหนดค่ารวมถึงตัวเลือกในการกำหนดตัวแทนผู้ใช้เพื่อดาวน์โหลดเพย์โหลด DLL จาก 2 URL ที่จัดเก็บเพย์โหลด (“URL1“ และ “URL2“) และพารามิเตอร์ RunDLL สำหรับฟังก์ชันส่งออกเพย์โหลด DLL เพื่อเรียก เมื่อดำเนินการ dropper จะพยายามดาวน์โหลดเพย์โหลดจาก URL1 และดำเนินการโดยการเรียกใช้การส่งออกที่ระบุโดยตรงผ่าน rundll32.exe นักวิจัยทราบว่าพารามิเตอร์ URL ตัวที่สองของ PindOS จะถูกใช้เมื่อไม่สามารถดึง payload จาก URL แรกได้ จากนั้นจึงพยายามดำเนินการโดยรวมคำสั่ง PowerShell และ rundll.exe ของ Microsoft ซึ่งผู้โจมตีใช้บ่อยในการโจมตี หลังจากนั้น PindOS จะดาวน์โหลดเพย์โหลดไปยัง “%appdata%/Microsoft/Templates/” เป็นไฟล์ DAT โดยมีตัวเลขสุ่ม 6 ตัวเป็นชื่อ
นักวิจัยกล่าวว่าตัวอย่างมัลแวร์ถูกสร้างขึ้นแต่ละรายการจะมีแฮชที่แตกต่างกัน นี่เป็นกลวิธีทั่วไปในการหลีกเลี่ยงกลไกการตรวจจับ signature แม้ว่า PindOS จะไม่ได้มีความซับซ้อนมากนักแต่ก็มีอัตราการตรวจจับที่ต่ำมากเมื่อเปิดตัวครั้งแรก ในวันที่ 20 พฤษภาคม ซึ่งเครื่องมือป้องกันไวรัสน้อยกว่าห้าตัวบน Virus Total ตั้งค่าสถานะ JavaScript ว่าเป็นอันตราย แม้ว่าตัวอย่างส่วนใหญ่ที่ DeepInstinct ค้นพบจะถูกตรวจพบโดยผลิตภัณฑ์อย่างน้อย 24 รายการบน Virus Total แต่บางตัวอย่างยังคงตรวจไม่พบถึงความอันตรายโดยมีเพียง 6-14 รายการเท่านั้นที่รายงานถึงรหัสที่เป็นอันตราย
https://www.bleepingcomputer.com/news/security/new-pindos-javascript-dropper-deploys-bumblebee-icedid-malware/