Los investigadores de seguridad descubrieron una nueva herramienta maliciosa que llamaron PindOS que entrega el malware Bumblebee e IcedID típicamente asociado con ataques de ransomware .
PindOS es un cuentagotas de malware de JavaScript simple que parece estar diseñado específicamente para obtener las cargas útiles de la próxima etapa que entregan la carga útil final de los atacantes.
Cuentagotas de malware de JavaScript simple
En un informe de la empresa de ciberseguridad DeepInstinct, los investigadores señalan que el nuevo gotero de malware PindOS tiene solo una función que viene con cuatro parámetros para descargar la carga útil, ya sea Bumblebee o el troyano bancario IcedID que se convirtió en cargador de malware .
El cuentagotas de JavaScript viene en forma ofuscada, pero una vez decodificado, revela lo "sorprendentemente simple" que es.
Su configuración incluye la opción de definir un agente de usuario para descargar un payload de DLL, dos URLs donde se almacena el payload (“URL1“ y “URL2“), y el parámetro RunDLL para que llame la función de DLL de payload exportado.
"Cuando se ejecuta, el cuentagotas intentará descargar la carga útil inicialmente desde URL1 y ejecutarla llamando a la exportación especificada directamente a través de rundll32.exe" - DeepInstinct
Los investigadores señalan que el segundo parámetro de URL es una redundancia que utiliza PindOS cuando no puede recuperar la carga útil de la primera URL, y luego intenta ejecutarlo combinando los comandos de PowerShell y rundll.exe de Microsoft, que los adversarios usan con frecuencia para lanzar código malicioso.
Fuente del cuentagotas de malware PindOS JavaScript : DeepInstinct
PindOS descarga la carga útil en " %appdata%/Microsoft/Templates/ " como un archivo DAT con seis números aleatorios como nombre.
Las muestras de malware se generan "bajo demanda", dicen los investigadores, por lo que cada una de ellas tiene un hash diferente cuando se recupera. Esta es una táctica común para evitar los mecanismos de detección basados en firmas.
Sin embargo, las muestras se escriben en el disco y, en el caso de Bumblebee, esto es un paso atrás respecto a su ejecución en la memoria , lo que las hace susceptibles de detección, a pesar del hash diferente, debido a otros marcadores asociados con el malware.
Baja tasa de detección
A pesar de su simplicidad, PindOS disfrutó de tasas de detección muy bajas cuando apareció por primera vez. El 20 de mayo, menos de cinco motores antivirus en Virus Total marcaron JavaScript como malicioso.
Fuente de la tasa de detección temprana de PindOS : DeepInstinct
Aunque la mayoría de las muestras que descubrió DeepInstinct ahora son detectadas por al menos dos docenas de productos en Virus Total, algunas de ellas continúan siendo invisibles para la mayoría de los motores, con solo seis a 14 de ellos informando el código malicioso.
Por el momento, no está claro si los actores de amenazas solo están probando cómo funciona PindOS frente a los productos de seguridad o si planean incluirlo en su conjunto de herramientas.
Pero dadas las últimas tasas de detección, ha demostrado que puede colarse silenciosamente y soltar cargas útiles. Incluso si los operadores de Bumblebee o IcedID no lo adoptan, PindOS puede volverse más popular entre otros actores de amenazas.
