«Был бы ты человек…»: новый JavaScript-дроппер PindOS угрожает безопасности зарубежных компаний

Исследователи из компании Deep Instinct обнаружили новый вид JavaScript-дроппера, который доставляет на заражённые компьютеры вредоносные программы Bumblebee и IcedID.

Исследователи дали дропперу название «PindOS», являющееся результатом транслитерации другого слова, используемого в России и странах СНГ для пренебрежительного обращения к гражданам США. Разумеется, исследователи не сами придумали такое название, а взяли его из строки «User-Agent», которую вредонос использует для скачивания полезной нагрузки.

В коде дроппера также присутствует множество комментариев на русском языке, что также довольно толсто намекает на происхождение злоумышленников.

Bumblebee и IcedID являются загрузчиками, которые служат вектором для других видов вредоносных программ, в том числе вымогателей. Bumblebee был обнаружен в марте 2022 года и обычно связывается с группой Conti. Он является заменой для другого загрузчика под названием BazarLoader. IcedID же представляет из себя модульную банковскую вредоносную программу, предназначенная для кражи финансовой информации. Она существует с 2017 года, но недавно была замечена переквалификации на доставку вредоносных программ.

Раскрытая исследователями программа PindOS — это относительно простой дроппер, состоящий из одной функции «exec», которая имеет четыре параметра:

• «UserAgent» — строка пользовательского агента для определения типа полезной нагрузки;
• «URL1» — первый адрес для скачивания;
• «URL2» — второй адрес для скачивания;
• «RunDLL» — экспортированная функция вызова полезной нагрузки.

При выполнении дроппер пытается скачать полезную нагрузку сначала с URL1. Если это не удается, он обращается уже к URL2. Сохраняется полезная нагрузка в каталог «%APPDATA%/Microsoft/Templates» в виде файла с расширением «.dat», имеющим название, состоящее из 6 случайных чисел. Выполняется скачанная полезная нагрузка при помощи rundll32.exe, но в случае затруднений может задействовать и PowerShell.

«Извлеченные полезные нагрузки генерируются псевдослучайно "по требованию", что приводит к созданию нового образца хэша при каждом извлечении», — заявили исследователи.

Будет ли PindOS постоянно и дальше использоваться акторами, стоящими за распространением Bumblebee и IcedID, пока неизвестно. Если этот «эксперимент» окажется успешным для каждого из этих «сопутствующих» операторов вредоносных программ, он сможет стать постоянным инструментом в их арсенале и обрести популярность среди других злоумышленников.