Исследователи из Deep Instinct обнаружили неизвестного ранее JavaScript-дроппера. В настоящее время новобранец, которому было присвоено имя PindOS (по строке User-Agent) используется для доставки троянов Bumblebee и IcedID.
Вредоносный загрузчик Bumblebee ранее полагался на скрипты PowerShell, помогавшие извлечь и запустить целевую DLL; переход на JavaScript может означать существенное изменение устоявшихся техник и тактик. Троян IcedID долгое время работал банкером, но недавно перепрофилировался и теперь тоже служит проводником для других зловредов.
Их новый партнер PindOS после деобфускации оказался весьма примитивным лоадером. Его единственная функция exec принимает четыре параметра:
- UserAgent — строка, используемая при загрузке целевой DLL;
- URL1 — основной адрес для загрузки;
- URL2 — резервный адрес для загрузки;
- RunDLL — экспортируемая функция DLL, подлежащая вызову.
Загруженный пейлоад сохраняется в папке шаблонов пользователей Windows как файл .dat с произвольным именем (шестизначное число). Его запуск осуществляется с помощью rundll32.exe.
Примечательно, что получаемая полезная нагрузка генерируется по запросу и псевдослучайным образом, то есть каждый раз создается новый хеш. Подобная уловка обычно используется для обхода сигнатурных средств защиты, однако в случае с Bumblebee этот трюк, по словам экспертов, не дает искомого эффекта.
