PinDos, il nuovo dropper JS per i malware Bumblee e IcedID

Il Threat Research Lab di Deep Instinct ha recentemente scoperto un nuovo dropper JavaScript per la distribuzione dei malware Bumblebee e IcedID, che ha ribattezzato con il nome PinDos.

Bumblebee, lo ricordiamo, scoperto per la prima volta nel marzo 2022 è un caricatore per diversi tipi di malware incluso il ransomware, è stato associato al gruppo Conti. IcedID invece visto in natura almeno dal 2017 sebbene sia stato tradizionalmente un malware modulare progettato per rubare informazioni finanziarie, recentemente sembrerebbe aver cambiato funzionalità diventando anch’esso un caricatore di malware.

IcedID sembra seguire in parte le orme di Emotet“, si legge nel rapporto.

Il dropper PinDos

Il dropper tramite un algoritmo molto semplice è stato implementato per scaricare eseguibili dannosi da un server remoto, utilizzando due URL per il recupero del payload (Il codice presenta diversi commenti in lingua russa).

“I payload recuperati vengono generati in modo pseudo-casuale” su richiesta “, il che si traduce in un nuovo hash campione ogni volta che viene recuperato un payload”, hanno affermato i ricercatori di sicurezza.

Funzione principale “exec” di PinDos (Fonte Deep Instinct)

IoC

I ricercatori consigliano ai team di sicurezza di implementare sui propri apparati gli IoC resi disponibili. Resta da vedere se PinDos possa nel tempo guadagnare popolarità tra gli altri attori delle minacce.

Su Virus Total, i primi campioni PindOS osservati avrebbero ricevuto tassi di rilevamento molto bassi.

Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.