Notícias de dispositivos móveis, gadgets, aplicativos Android

Novo dropper baseado em JavaScript fornece malware Bumblebee e IcedID

A pesquisa mais recente revelou droppers baseados em JavaScript, que entregam malware Bumblebee e IcedID em vez de droppers baseados em PowerShell.

Esses dois tipos de malware estão significativamente relacionados a ataques de ransomware.

Bumblebee é um carregador modular, distribuído principalmente por meio de phishing, usado para entregar cargas comumente associadas a implantações de ransomware.

IcedID é um trojan bancário modular que tem como alvo as informações financeiras do usuário e pode atuar como um dropper para outros malwares. Ele usa um ataque man-in-the-browser para roubar informações financeiras, incluindo credenciais de login para sessões bancárias online.

A mudança significativa no Bumblebee e no IcedId de um carregador baseado em PowerShell para um carregador baseado em javascript e de um trojan bancário para um carregador de malware mostra como os atores da ameaça estabelecem seus TTPs para evitar a detecção.

Análise Técnica PindOS JavaScript

De acordo com o Laboratório de Pesquisa de Ameaças do Deep Instinct relatório, o conta-gotas contém comentários em russo. Ele emprega a string de agente de usuário exclusiva “PindOS”, que pode ser um referência ao sentimento antiamericano atual (e passado) na Rússia.

O conta-gotas consiste em uma única função, “exec”, que obtém quatro parâmetros.

  • “UserAgent”: A string do agente do usuário a ser usada ao baixar o Bumblebee’s.DLL
  • “URL1”: Primeiro endereço para download
  • “URL2”: Segundo endereço para download
  • “RunDLL”: função exportada por DLL de carga útil para chamar

Quando executado, o dropper tentará baixar a carga inicialmente do URL1 e executá-la chamando a exportação especificada diretamente por meio de rundll32.exe.

Se isso falhar, o conta-gotas tentará baixar a carga útil do URL2 e executá-la usando uma combinação de PowerShell e rundll32.exe.

Nós recomendamos:  Google Maps lançando um novo feed da comunidade na guia Explorar para usuários de Android e iOS para recomendações próximas

A carga baixada é salva em %appdata%/Microsoft/Templates/<6-char-número-aleatório>.dat

Ao comparar a DLL antiga do Bumblebee com a nova variante, ambas possuem a mesma função principal, “definir caminho”.

Além disso, inclui strings de “aparência legítima” retiradas do Código aberto FFmpeg arquivo “error.c” do projeto e alguns outros arquivos do mesmo projeto para fins de distração.

A nova variante tem quatro funções principais de exportação, ao contrário da variante mais antiga, que tinha duas.

As cargas recuperadas são geradas pseudoaleatoriamente “sob demanda”, o que resulta em um novo hash de amostra cada vez que uma carga é buscada para reduzir o risco de detecção.

Como Bumblebee e IcedID são conhecidos por distribuir ransomware, recomendamos que as equipes de segurança tomem nota desses IOCs – IOCs atualizados do Deep Instinct’s Página GitHub.

COIs

  • Conta-gotas Bumblebee.JS SHA256
    bcd9b7d4ca83e96704e00e378728db06291e8e2b50d68db22efd1f8974d1ca91
    07d2cb0dc0cd353fb210b065733743078e79c4a27c42872cd516a6b1fb1f00d1
    00ec8f3900336c7aeb31fef4d111ee6e33f12ad451bc5119d3e50ad80b2212b0
    15da5b0a65dd8135273124da0c6e52e017e3b54642f87571e82d2314aae97eec
    180a935383b39501c7bdf2745b3a334841f01a7df9d063fecca587b5cc3f5e7a
  • Carga útil da DLL do Bumblebee: SHA256
    24dd5c33b8a5136bdf29d0c07cf56ef0e33a285bb12696a8ff65e4065cb18359
    76c9780256e195901e1c09cb8a37fb5967f9f5b36564e380e7cf2558652f875b
    28c87170f2525fdecc4092fb347acd9b8350ed65e0fd584ce9fc001fd237d523
    ac261ac26221505798c65c61a207f3951cc7dce2e1014409d8a765d85bfd91d4
  • Conta-gotas IcedID.JS SHA256
    92506fe773db7472e7782dbb5403548323e65a9eb2e4c15f9ac65ee6c4bd908b
    c84c84387f0b9e7bc575a008f36919448b4e6645e1f5d054e20b59be726ee814
    7355656f894ae26215f979b953c8fa237dc39af857a6b27754a93adb1823f3b6
    8f40ff286419eb4b0c4d15710dc552afb2c2a227a180f4b4f520d09b05724151
  • Carga útil da DLL IcedID: SHA256
    9101975f7aca998da796fc15a63b36ab8aa0fe0aed0b186aaed06a3383d5f226
    4f0c9c6fc1287ef16f4683db90dd677054a1f834594494d61d765fa3f2e1352c
    cb307d7fa6eaac6a975ad64ff966ff6b0b0fdd59109246c2f6f5e8d50a33e93c
    361b0157ef63d362fdd4399288f5f6a0e1536633dfb49c808a3590718c4d8f10
    e71c9ac9ddd55b485e636840da150db5cd2791d0681123457bd40623acd8311c
    8ae3be9f09f5fc64ec898a4d6467b2f6e50eaaa26fc460a4f1a9b9566e97a9a7