Deep Instinct กำลังติดตามมัลแวร์ในชื่อ PindOS ซึ่งอยู่ในสตริง
บริษัทด้านความปลอดภัยทางไซเบอร์ Deep Instinct กำลังติดตามมัลแวร์ในชื่อ PindOS
ซึ่งอยู่ในสตริง “User-Agent” และยังมีการสังเกตว่า Dropper JavaScript สายพันธุ์ใหม่
ได้แพร่กระจาย Next-Stage Payloads เช่น Bumblebee และ IcedID
โดยทั้งสองตัวนี้ทำหน้าที่เป็นพาหะของมัลแวร์อื่นๆ
บนโฮสต์ที่ถูกโจมตี รวมถึงแรนซัมแวร์อีกด้วย โดยเฉพาะอย่างยิ่ง Bumblebee เป็นการแทนที่
สำหรับตัวโหลด BazarLoader ที่เกี่ยวข้องกับกลุ่ม TrickBot และ Conti ที่เลิกใช้แล้วในขณะนี้
รายงานจาก Secureworks ในเดือนเมษายน พ.ศ. 2565 พบหลักฐานของการทำงานร่วมกันระหว่างแฮกเกอร์หลายคนในระบบนิเวศอาชญากรรมไซเบอร์ของรัสเซีย ซึ่งรวมถึง Conti, Emotet และ IcedID และจากการวิเคราะห์ซอร์สโค้ดของ PindOS ของ Deep Instinct แสดงให้เห็นว่ามีความคิดเห็นในภาษารัสเซีย ซึ่งเพิ่มความเป็นไปได้ในการเป็นหุ้นส่วนระหว่างกลุ่มอาชญากรรมทางอิเล็กทรอนิกส์
Bumblebee และ IcedID ถูกออกแบบมาเพื่อดาวน์โหลดไฟล์ปฏิบัติการที่เป็นอันตรายจากเซิร์ฟเวอร์ระยะไกล จะใช้สอง URL ซึ่งหนึ่งในนั้นทำหน้าที่เป็นทางเลือกสำรองในกรณีที่ URL แรกไม่สามารถดึง เพย์โหลด DLL โดยเพย์โหลดที่เรียกมานั้นถูกสร้างขึ้นแบบสุ่มหลอก ‘ตามต้องการ’ ซึ่งส่งผลให้เกิดแฮชตัวอย่างใหม่ทุกครั้งที่ดึงเพย์โหลด จากนั้นไฟล์ DLL จะถูกเปิดใช้งานโดยใช้ rundll32.exe ซึ่งเป็นเครื่องมือ Windows ที่ถูกต้องในการโหลดและเรียกใช้ DLL
คำแนะนำ
- ควรทำการสแกนเครื่องคอมพิวเตอร์อย่างสม่ำเสมอ และอัปเดต OS ให้เป็นปัจจุบัน
- ควรเพิ่มความปลอดภัยให้กับอินเทอร์เน็ตเบราว์เซอร์ให้สูงสุด
- ควรระมัดระวังอย่างเต็มที่เมื่อใช้อินเทอร์เน็ต
Ref: https://thehackernews.com/2023/06/powerful-javascript-dropper-pindos.html