سویه جدیدی از جاوا اسکریپت دراپر مشاهده شده است که بارهای مرحله بعدی مانند Bumblebee و IcedID را تحویل می دهد.
شرکت امنیت سایبری Deep Instinct در حال ردیابی بدافزار به عنوان PindOS است که نام آن را در رشته "User-Agent" خود دارد.
هر دو Bumblebee و IcedID به عنوان بارگذار عمل می کنند و به عنوان یک بردار برای سایر بدافزارها در میزبان های در معرض خطر، از جمله باج افزار عمل می کنند. گزارش اخیر از Proofpoint بر کنار گذاشتن ویژگیهای کلاهبرداری بانکی توسط IcedID و تمرکز صرفاً بر تحویل بدافزار تأکید کرد.
به ویژه، Bumblebee جایگزینی برای لودر دیگری به نام BazarLoader است که به گروههای TrickBot و Conti منسوب شده است.
گزارشی از Secureworks در آوریل 2022 شواهدی از همکاری بین چندین بازیگر در اکوسیستم جرایم سایبری روسیه، از جمله Conti، Emotet و IcedID پیدا کرد.
تجزیه و تحلیل کد منبع Deep Instinct از PindOS نشان میدهد که حاوی نظراتی به زبان روسی است که امکان مشارکت مداوم بین گروههای جرایم الکترونیکی را افزایش میدهد.
این لودر که به عنوان یک لودر "به طرز شگفت انگیزی ساده" توصیف می شود، برای دانلود فایل های اجرایی مخرب از یک سرور راه دور طراحی شده است. از دو URL استفاده میکند، یکی از آنها در صورتی که URL اول نتواند بار DLL را واکشی کند، به عنوان بازگشتی عمل میکند.
Shaul Vilkomir-Preisman و Mark Vaitzman، محققین امنیتی، گفتند: "بارهای بازیابی شده به صورت شبه تصادفی "در صورت تقاضا" تولید می شوند که هر بار که یک بار واکشی می شود یک هش نمونه جدید ایجاد می کند.
فایلهای DLL در نهایت با استفاده از rundll32.exe، یک ابزار قانونی ویندوز برای بارگیری و اجرای DLL راهاندازی میشوند.
محققان نتیجه گرفتند که آیا PindOS به طور دائم توسط بازیگران پشت Bumblebee و IcedID پذیرفته شده است یا خیر، باید دید.
اگر این «آزمایش» برای هر یک از این اپراتورهای بدافزار «همراه» موفقیتآمیز باشد، ممکن است به ابزاری دائمی در زرادخانه آنها تبدیل شود و در میان دیگر عوامل تهدید محبوبیت پیدا کند.»
شرکت امنیت سایبری Deep Instinct در حال ردیابی بدافزار به عنوان PindOS است که نام آن را در رشته "User-Agent" خود دارد.
هر دو Bumblebee و IcedID به عنوان بارگذار عمل می کنند و به عنوان یک بردار برای سایر بدافزارها در میزبان های در معرض خطر، از جمله باج افزار عمل می کنند. گزارش اخیر از Proofpoint بر کنار گذاشتن ویژگیهای کلاهبرداری بانکی توسط IcedID و تمرکز صرفاً بر تحویل بدافزار تأکید کرد.
به ویژه، Bumblebee جایگزینی برای لودر دیگری به نام BazarLoader است که به گروههای TrickBot و Conti منسوب شده است.
گزارشی از Secureworks در آوریل 2022 شواهدی از همکاری بین چندین بازیگر در اکوسیستم جرایم سایبری روسیه، از جمله Conti، Emotet و IcedID پیدا کرد.
تجزیه و تحلیل کد منبع Deep Instinct از PindOS نشان میدهد که حاوی نظراتی به زبان روسی است که امکان مشارکت مداوم بین گروههای جرایم الکترونیکی را افزایش میدهد.
این لودر که به عنوان یک لودر "به طرز شگفت انگیزی ساده" توصیف می شود، برای دانلود فایل های اجرایی مخرب از یک سرور راه دور طراحی شده است. از دو URL استفاده میکند، یکی از آنها در صورتی که URL اول نتواند بار DLL را واکشی کند، به عنوان بازگشتی عمل میکند.
Shaul Vilkomir-Preisman و Mark Vaitzman، محققین امنیتی، گفتند: "بارهای بازیابی شده به صورت شبه تصادفی "در صورت تقاضا" تولید می شوند که هر بار که یک بار واکشی می شود یک هش نمونه جدید ایجاد می کند.
فایلهای DLL در نهایت با استفاده از rundll32.exe، یک ابزار قانونی ویندوز برای بارگیری و اجرای DLL راهاندازی میشوند.
محققان نتیجه گرفتند که آیا PindOS به طور دائم توسط بازیگران پشت Bumblebee و IcedID پذیرفته شده است یا خیر، باید دید.
اگر این «آزمایش» برای هر یک از این اپراتورهای بدافزار «همراه» موفقیتآمیز باشد، ممکن است به ابزاری دائمی در زرادخانه آنها تبدیل شود و در میان دیگر عوامل تهدید محبوبیت پیدا کند.»