Hackere implementerer ny Malware Loader kaldet "Bumblebee"

Forskere opdagede en ny malware-loader, der blev brugt i naturen. Værktøjet hedder "Bumblebee" og er forbundet med flere forskellige cyberkriminelle outfits.

Holdet, der valgte den nye malware-indlæser, er hos sikkerhedsfirmaet Proofpoint. Holdet sporede adskillige "kriminalitetstrussel-outfits", som tidligere brugte et par forskellige loadere til at sprede malware, kaldet "BazaLoader" og "IcedID". Nu ser det ud til, at tøjet, der bruger BazaLoader, helt er skiftet til at bruge Bumblebee, da Proofpoint ikke har opdaget en eneste forekomst af det gamle værktøj siden februar 2022.

BazaLoader erstattet af Bumblebee

Proofpoints observationer overlapper med data indsamlet af Google Threat Analysis Group. Ifølge rapporten, efter at BazaLoader forsvandt fra online-landskabet i februar, blev den erstattet af Bumblebee, hvor de første observationer af den nye læsser i naturen dateres til marts 2022.

Forskerne mener, at Bumblebee stadig udvikles aktivt, men på trods af dette har læsseren allerede en række avancerede funktioner. Disse omfatter avancerede kontroller for at undvige virtuelle sandkasser og originale variationer af almindeligt anvendte downloaderfunktioner.

Attack bruger ondsindet arkiv og ISO-fil

Bumblebee bliver brugt i ondsindede e-mail-kampagner. Lokkemidler inkluderer links, der opfordrer offeret til at "GENNEMSENDE DOKUMENTET", med e-mailen, der hævder, at en faktura er i den anden ende af linket. Det, der virkelig er i den anden ende, er et diskbillede .iso-fil, zippet i en arkivfil og hostet på OneDrive.

Åbning af zip-filen afslører .iso inde i den. Når det også er åbnet, viser det to filer inde i det. Begge er navngivet "Attachment". Den ene er en .lnk-genvejsfil, den anden er en .dat-fil, der er lidt over 2 megabyte stor.

Hvis genvejsfilen udføres, indlæser den Bumblebee fra .dat-filen og implementerer loaderen.

Proofpoint mener, at den kampagne, der i øjeblikket bruger Bumblebee, drives af trusselsaktøren, der går efter håndtaget TA579.

Flere andre lignende kampagner blev også observeret, én brugte e-mail-trådkapring, en anden misbrugte e-mails, der blev genereret ved hjælp af "Kontakt os"-sektionen på websteder. Leveringsmetoderne var ens, hvor en nyttelast med et andet navn og en genvej .lnk-fil blev brugt igen.

Ifølge Proofpoint kan loaderen bruges som et værktøj til at få adgang til et netværk og levere sekundære nyttelaster, herunder ransomware.