Grazie al lavoro del dipartimento Threat Research Lab di Deep Instinct, startup dedicata alla protezione dalle minacce, è stato individuato un nuovo e pericoloso dropper in JavaScript.
Questo, soprannominato PindOS, è capace di diffondere due diversi tipi di malware sui computer delle vittime, ovvero IceID e Bumblebee. Nel primo caso si parla di un malware bancario, progettato con una struttura modulare e che risulta in circolazione sulla rete dall’ormai lontano 2017.
Bumblebee è invece più “giovane” essendo stato scoperto nel marzo del 2022 pur essendo altrettanto temibile: l’agente malevolo è infatti capace di diffondere diversi altri tipi di malware, tra cui alcune varianti di ransomware.
Stando ad alcuni commenti al codice, PindOS sembra essere stato realizzato da cybercriminali russofoni. A colpire i ricercatori di Deep Instinct è stata inoltre la struttura stessa del dropper, realizzato su misura per diffondere con efficacia i suddetti due malware e, viceversa, come gli stessi si siano adattati a questo metodo di diffusione.
Con la sua implementazione tramite PindOS, IcedID ha mutato la sua funzione primaria di malware bancario, seguendo potenzialmente le orme di Emotet, cambiando le sue priorità e il modo di operare.
PindOS: come funziona questo dropper basato su JavaScript
Analizzando il dropper più a fondo, il codice JavaScript di PindOS utilizza una struttura semplicistica che scarica ed esegue un payload .DLL da un URL specificato. Se il primo tentativo fallisce, PindOS riprova con un secondo URL. I ricercatori hanno affermato come questo risulti uno uno strumento resiliente ed efficiente, capace di infiltrarsi nei sistemi operativi e infettarli con estrema facilità.
Per evitare il rilevamento, i payload generati da PindOS vengono creati in modo “pseudo-casuale”, una tecnica di evasione comune nel settore. Nonostante ciò, il dropper appare ancora imperfetto sotto questo punto di vista: ciò significa che, gli antivirus più efficaci, riescono ancora a rilevarlo e bloccarlo in molte occasioni.
La combinazione dei ceppi di malware Bumblebee e IcedID rappresenta una minaccia significativa sia per le organizzazioni che per i singoli utenti. In tal senso, il passaggio ai dropper basati su JavaScript porta nuove sfide nel contesto sicurezza informatica.
Stando alle dichiarazioni di Callie Guenther di Critical Start Inc. a SiliconANGLE “Le soluzioni di sicurezza tradizionali che si concentrano principalmente sul rilevamento degli attacchi basati su PowerShell potrebbero dover essere aggiornate e adattate per identificare e mitigare efficacemente queste minacce in evoluzione“.
Lo stesso ha poi aggiunto come “i dropper basati su JavaScript offrono agli aggressori nuove opportunità di evasione e consegna di malware, aggirando potenzialmente le misure di sicurezza progettate principalmente per rilevare gli attacchi basati su PowerShell“.