Güvenlik araştırmacıları, Pindos adını verdikleri ve genellikle fidye yazılımı saldırılarıyla ilişkili Bumblebee ve buzlu kötü amaçlı yazılımları sunan yeni bir kötü niyetli araç keşfettiler.
Pindos, saldırganların son yükünü sağlayan sonraki aşamalı yükleri almak için özel olarak oluşturulmuş gibi görünen basit bir JavaScript kötü amaçlı yazılım damlasıdır.
Siber güvenlik şirketi DeepInstinct'in bir raporunda, araştırmacılar, yeni Pindos kötü amaçlı yazılım damlasının, bumblebee veya kötü amaçlı yazılım yükleyicisini çeviren buzlu bankacılık Truva atı, yükü indirmek için dört parametre ile birlikte gelen tek bir işleve sahip olduğunu belirtiyor.
JavaScript damlası gizlenmiş formda gelir, ancak kod çözüldükten sonra, ne kadar şaşırtıcı derecede basit olduğunu ortaya çıkarır.
Yapılandırması, bir DLL yükü indirmek için bir kullanıcı aracısı, yükün depolandığı iki URL (“url1” ve “url2”) ve yük yükü DLL dışa aktarılan işlevin çağrılacağı için Rundll parametresini tanımlama seçeneğini içerir.
“Yürütüldüğünde, damlalık yükü başlangıçta URL1'den indirmeye ve belirtilen ihracatı doğrudan Rundll32.exe aracılığıyla arayarak yürütmeye çalışacaktır” - DeepInstinct
Araştırmacılar, ikinci URL parametresinin, Pindos'un yükü ilk URL'den alamadığı zaman kullandığı bir artıklık olduğunu ve daha sonra PowerShell komutlarını ve Microsoft’un Rundll.exe'sini birleştirerek, Concerserlerin kötü amaçlı kodları başlatmak için sık sık kullandığını belirtiyor.
Pindos, yükü “%AppData%/Microsoft/Templates/” adlı ad olarak altı rastgele sayıya sahip bir DAT dosyası olarak indirir.
Araştırmacılar, kötü amaçlı yazılım örnekleri “talep üzerine” üretiliyor, bu nedenle her birinin alındığında farklı bir karması var. Bu, imzaya dayalı tespit mekanizmalarını önlemek için yaygın bir taktiktir.
Bununla birlikte, numuneler diske yazılmıştır ve bumblebee durumunda bu, bellek yürütmekten bir adımdır, böylece kötü amaçlı yazılımlarla ilişkili diğer belirteçler nedeniyle farklı karma olmasına rağmen, algılamaya duyarlı hale getirir.
Sadeliğine rağmen, Pindos ilk ortaya çıktığında çok düşük algılama oranlarına sahipti. 20 Mayıs'ta virüs toplamında beşten az antivirüs motoru JavaScript'i kötü niyetli olarak işaretledi.
DeepInstinct'in keşfettiği örneklerin çoğu şimdi virüs toplamında en az iki düzine ürün tarafından tespit edilmesine rağmen, bazıları çoğu motor için görünmez olmaya devam ediyor ve altı ila 14'ü kötü amaçlı kodu bildiriyor.
Şu anda tehdit aktörlerinin Pindos'un güvenlik ürünlerine karşı nasıl ücret aldığını veya araç setlerine dahil etmeyi planlayıp planlamadıkları belirsiz.
Ancak en son algılama oranları göz önüne alındığında, sessizce kayabileceğini ve yükleri düşürebileceğini göstermiştir. Bumblebee veya buzlu operatörler bunu benimsemese bile, Pindos diğer tehdit aktörleri ile daha popüler olabilir.
NPM paketleri, nodej'leri taklit eden Türkorat ikili işler sunarken yakalandı
Kaynak: Bleeping Computer