Трояны Bumblebee и IcedID закорешились с JavaScript-курьером PindOS

Исследователи из Deep Instinct обнаружили неизвестного ранее JavaScript-дроппера. В настоящее время новобранец, которому было присвоено имя PindOS (по строке User-Agent) используется для доставки троянов Bumblebee и IcedID.

Вредоносный загрузчик Bumblebee ранее полагался на скрипты PowerShell, помогавшие извлечь и запустить целевую DLL; переход на JavaScript может означать существенное изменение устоявшихся техник и тактик. Троян IcedID долгое время работал банкером, но недавно перепрофилировался и теперь тоже служит проводником для других зловредов.

Их новый партнер PindOS после деобфускации оказался весьма примитивным лоадером. Его единственная функция exec принимает четыре параметра:

• UserAgent — строка, используемая при загрузке целевой DLL;
• URL1 — основной адрес для загрузки;
• URL2 — резервный адрес для загрузки;
• RunDLL — экспортируемая функция DLL, подлежащая вызову.

Загруженный пейлоад сохраняется в папке шаблонов пользователей Windows как файл .dat с произвольным именем (шестизначное число). Его запуск осуществляется с помощью rundll32.exe.

Примечательно, что получаемая полезная нагрузка генерируется по запросу и псевдослучайным образом, то есть каждый раз создается новый хеш. Подобная уловка обычно используется для обхода сигнатурных средств защиты, однако в случае с Bumblebee этот трюк, по словам экспертов, не дает искомого эффекта.