Một chủng JavaScript dropper mới đã được quan sát thấy cung cấp các payload giai đoạn tiếp theo như Bumblebee và IcedID.
Công ty an ninh mạng Deep Instinct đang theo dõi phần mềm độc hại dưới dạng PindOS, chứa tên trong chuỗi "User-Agent" của nó.
Cả Bumblebee và IcedID đều đóng vai trò là trình tải, hoạt động như một vectơ cho các phần mềm độc hại khác trên các máy chủ bị xâm nhập, bao gồm cả ransomware. Một báo cáo gần đây từ Proofpoint nhấn mạnh việc IcedID từ bỏ các tính năng gian lận ngân hàng để chỉ tập trung vào việc phân phối phần mềm độc hại.
Đáng chú ý, Bumblebee là sự thay thế cho một trình tải khác có tên BazarLoader, được cho là do các nhóm TrickBot và Conti hiện không còn tồn tại.
Một báo cáo từ Secureworks vào tháng 4 năm 2022 đã tìm thấy bằng chứng về sự hợp tác giữa một số tác nhân trong hệ sinh thái tội phạm mạng của Nga, bao gồm cả Conti, Emotet và IcedID.
Phân tích mã nguồn PindOS của Deep Instinct cho thấy nó chứa các bình luận bằng tiếng Nga, làm tăng khả năng tiếp tục hợp tác giữa các nhóm tội phạm điện tử.
Được mô tả là một trình tải "đơn giản đáng ngạc nhiên", nó được thiết kế để tải xuống các tệp thực thi độc hại từ một máy chủ từ xa. Nó sử dụng hai URL, một trong số đó hoạt động như một dự phòng trong trường hợp URL đầu tiên không tìm nạp được tải trọng DLL.
"Các tải trọng được truy xuất được tạo ra giả ngẫu nhiên 'theo yêu cầu' dẫn đến một hàm băm mẫu mới mỗi khi tải trọng được tìm nạp", các nhà nghiên cứu bảo mật Shaul Vilkomir-Preisman và Mark Vaitzman cho biết.
Các tệp DLL cuối cùng được khởi chạy bằng rundll32.exe, một công cụ Windows hợp pháp để tải và chạy DLL.
"Liệu PindOS có được chấp nhận vĩnh viễn bởi các diễn viên đằng sau Bumblebee và IcedID hay không vẫn còn phải xem", các nhà nghiên cứu kết luận.
"Nếu 'thử nghiệm' này thành công đối với mỗi nhà khai thác phần mềm độc hại 'đồng hành' này, nó có thể trở thành một công cụ vĩnh viễn trong kho vũ khí của họ và trở nên phổ biến trong số các tác nhân đe dọa khác."