Les chercheurs en sécurité ont découvert un nouvel outil malveillant qu’ils ont nommé PindOS qui fournit les logiciels malveillants Bumblebee et IcedID généralement associés aux attaques de ransomwares.
PindOS est un simple compte-gouttes de logiciels malveillants JavaScript qui semble être spécialement conçu pour récupérer les charges utiles de la prochaine étape qui fournissent la charge utile finale des attaquants.
Droppeur de logiciels malveillants JavaScript simple
Dans un rapport de la société de cybersécurité DeepInstinct, les chercheurs notent que le nouveau lanceur de logiciels malveillants PindOS n’a qu’une seule fonction qui vient avec quatre paramètres pour télécharger la charge utile, que ce soit Bumblebee ou le cheval de Troie bancaire IcedID qui a transformé le chargeur de logiciels malveillants.
Le compte-gouttes JavaScript se présente sous une forme obscurcie, mais une fois décodé, il révèle à quel point il est « étonnamment simple ».
Sa configuration inclut la possibilité de définir un agent utilisateur pour télécharger une charge utile DLL, deux URL où la charge utile est stockée (« URL1 » et « URL2 »), et le paramètre RunDLL pour la fonction exportée DLL de charge utile à appeler.
« Une fois exécuté, le dropper tentera de télécharger la charge utile initialement à partir de l’URL1 et de l’exécuter en appelant l’exportation spécifiée directement via rundll32.exe » – DeepInstinct
Les chercheurs notent que le deuxième paramètre d’URL est une redondance que PindOS utilise lorsqu’il ne peut pas récupérer la charge utile de la première URL, puis tente de l’exécuter en combinant les commandes PowerShell et le rundll.exe de Microsoft, que les adversaires utilisent fréquemment pour lancer du code malveillant.
PindOS télécharge la charge utile sur « %appdata%/Microsoft/Templates/ » sous la forme d’un fichier DAT avec six nombres aléatoires comme nom.
Les échantillons de logiciels malveillants sont générés « à la demande », selon les chercheurs, de sorte que chacun d’eux a un hachage différent lorsqu’il est récupéré. Il s’agit d’une tactique courante pour éviter les mécanismes de détection basés sur les signatures.
Cependant, les échantillons sont écrits sur le disque et dans le cas de Bumblebee, il s’agit d’un pas en arrière par rapport à leur exécution en mémoire, ce qui les rend susceptibles d’être détectés, malgré le hachage différent, en raison d’autres marqueurs associés au malware.
Faible taux de détection
Malgré sa simplicité, PindOS a bénéficié de taux de détection très faibles lors de sa première apparition. Le 20 mai, moins de cinq moteurs antivirus sur Virus Total ont signalé le JavaScript comme malveillant.
Bien que la plupart des échantillons découverts par DeepInstinct soient désormais détectés par au moins deux douzaines de produits sur Virus Total, certains d’entre eux continuent d’être invisibles pour la plupart des moteurs, avec seulement six à 14 d’entre eux signalant le code malveillant.
Pour le moment, on ne sait pas si les acteurs de la menace ne font que tester les performances de PindOS par rapport aux produits de sécurité ou s’ils prévoient de l’inclure dans leur boîte à outils.
Mais compte tenu des derniers taux de détection, il a montré qu’il pouvait se glisser discrètement et laisser tomber des charges utiles. Même si les opérateurs Bumblebee ou IcedID ne l’adoptent pas, PindOS pourrait devenir plus populaire auprès d’autres acteurs de la menace.