Amenințările evoluează constant, iar profesioniștii din domeniu trebuie să fie mereu cu un pas înainte. Recent, un raport al Netskope Threat Labs a semnalat o posibilă renaștere a Bumblebee Loader, un malware sofisticat care a fost folosit activ de grupuri de infractori cibernetici pentru a distribui diverse tipuri de malware, inclusiv ransomware și infostealers.
Bumblebee Loader a fost descoperit pentru prima dată de Google’s Threat Analysis Group (TAG) în martie 2022 și a fost numit astfel datorită unui șir de agenți utilizatori pe care îl folosea. Acesta a înlocuit alte programe de încărcare populare, cum ar fi BazarLoader și TrickBot, care au fost utilizate intens în campanii de ransomware. Bumblebee a fost legat de mai multe grupuri de ransomware, inclusiv Conti, Quantum și MountLocker, toate folosindu-l ca parte a strategiei lor de acces inițial pentru a desfășura ransomware.
După o perioadă de inactivitate, Bumblebee a reapărut în februarie 2024, dar infrastructura sa a fost demontată trei luni mai târziu de Europol, împreună cu alte programe de încărcare, în cadrul Operațiunii Endgame. Cu toate acestea, recent, Netskope a detectat o nouă lanț de infecție care utilizează Bumblebee, marcând prima campanie Bumblebee de la Operațiunea Endgame.
Noul lanț de infecție începe probabil printr-un e-mail de phishing care îndeamnă victima să descarce un fișier ZIP și să execute fișierul din interiorul acestuia. Fișierul ZIP conține un fișier LNK numit „Report-41952.lnk” care, odată executat, declanșează o serie de evenimente pentru a descărca și executa payload-ul final Bumblebee în memorie, evitând necesitatea de a scrie DLL-ul pe disc, așa cum s-a observat în campaniile anterioare.
Utilizarea fișierelor LNK este comună în campaniile Bumblebee, fie pentru a descărca payload-urile următoare, fie pentru a executa direct fișierele. În acest caz, fișierul este folosit ca un downloader și este responsabil pentru descărcarea și executarea următoarei etape a lanțului de infecție. Odată deschis, fișierul LNK execută o comandă Powershell pentru a descărca un fișier Microsoft Installer (MSI) de pe un server la distanță, îl redenumește ca ‘%AppData%\\y.msi’ și apoi îl execută/instalează folosind instrumentul Microsoft msiexec.exe. Utilizarea fișierelor MSI pentru a executa payload-uri este o tehnică de succes pe care mai mulți adversari, cum ar fi DarkGate și Latrodectus, o folosesc în mod regulat. Cu toate acestea, aceasta este prima dată când a fost observată utilizarea acesteia pentru a desfășura Bumblebee.
Această nouă infecție subliniază importanța unei vigilențe continue și a unor strategii de securitate robuste pentru a combate amenințările cibernetice în continuă schimbare. Pentru mai multe informații despre această amenințare și modul de protecție împotriva ei, puteți accesa raportul complet al Netskope.
