Οι χάκερ αναπτύσσουν νέο πρόγραμμα φόρτωσης κακόβουλου λογισμικού που ονομάζεται "Bumblebee"

Οι ερευνητές ανακάλυψαν έναν νέο φορτωτή κακόβουλου λογισμικού που χρησιμοποιείται στη φύση. Το εργαλείο ονομάζεται "Bumblebee" και σχετίζεται με πολλά διαφορετικά ρούχα για εγκληματίες στον κυβερνοχώρο.

Η ομάδα που διάλεξε το νέο πρόγραμμα φόρτωσης κακόβουλου λογισμικού ανήκει στην εταιρεία ασφαλείας Proofpoint. Η ομάδα παρακολουθούσε αρκετές «ενδυμασίες απειλών εγκληματικού λογισμικού» που χρησιμοποιούσαν προηγουμένως μερικούς διαφορετικούς φορτωτές για τη διάδοση κακόβουλου λογισμικού, που ονομάζονταν «BazaLoader» και «IcedID». Τώρα φαίνεται ότι τα ρούχα που χρησιμοποιούν το BazaLoader έχουν αλλάξει εντελώς στη χρήση του Bumblebee, καθώς η Proofpoint δεν έχει εντοπίσει ούτε ένα παράδειγμα του παλιού εργαλείου από τον Φεβρουάριο του 2022.

Το BazaLoader αντικαταστάθηκε από το Bumblebee

Οι παρατηρήσεις της Proofpoint επικαλύπτονται με δεδομένα που συλλέγονται από την Ομάδα Ανάλυσης Απειλών Google. Σύμφωνα με την έκθεση, μετά την εξαφάνιση του BazaLoader από το διαδικτυακό τοπίο τον Φεβρουάριο, αντικαταστάθηκε από το Bumblebee, με τις πρώτες εμφανίσεις του νέου φορτωτή στη φύση να χρονολογούνται τον Μάρτιο του 2022.

Οι ερευνητές πιστεύουν ότι το Bumblebee εξακολουθεί να αναπτύσσεται ενεργά, αλλά παρόλα αυτά, ο φορτωτής διαθέτει ήδη μια σειρά από προηγμένα χαρακτηριστικά. Αυτά περιλαμβάνουν προχωρημένους ελέγχους για την αποφυγή εικονικών sandbox και πρωτότυπες παραλλαγές της λειτουργικότητας του προγράμματος λήψης που χρησιμοποιούνται συνήθως.

Η επίθεση χρησιμοποιεί κακόβουλο αρχείο και αρχείο ISO

Το Bumblebee χρησιμοποιείται σε κακόβουλες καμπάνιες ηλεκτρονικού ταχυδρομείου. Τα θέλγητρα περιλαμβάνουν συνδέσμους που παροτρύνουν το θύμα να "ΕΞΕΤΑΞΕΙ ΤΟ ΕΓΓΡΑΦΟ", με το email που ισχυρίζεται ότι ένα τιμολόγιο βρίσκεται στην άλλη άκρη του συνδέσμου. Αυτό που βρίσκεται πραγματικά στην άλλη άκρη είναι ένα αρχείο εικόνας δίσκου .iso, συμπιεσμένο σε ένα αρχείο αρχειοθέτησης και φιλοξενείται στο OneDrive.

Ανοίγοντας το αρχείο zip αποκαλύπτεται το .iso μέσα σε αυτό. Μόλις ανοίξει και αυτό, εμφανίζει δύο αρχεία μέσα σε αυτό. Και οι δύο ονομάζονται «Συνημμένο». Το ένα είναι αρχείο συντόμευσης .lnk και το άλλο αρχείο .dat που έχει μέγεθος λίγο περισσότερο από 2 megabyte.

Εάν το αρχείο συντόμευσης εκτελεστεί, φορτώνει το Bumblebee από το αρχείο .dat και αναπτύσσει το πρόγραμμα φόρτωσης.

Η Proofpoint πιστεύει ότι η καμπάνια που χρησιμοποιεί αυτήν τη στιγμή το Bumblebee διευθύνεται από τον ηθοποιό απειλών με το χειριστή TA579.

Παρατηρήθηκαν επίσης αρκετές άλλες παρόμοιες καμπάνιες, μία με χρήση πειρατείας μηνυμάτων ηλεκτρονικού ταχυδρομείου, άλλη κατάχρηση μηνυμάτων ηλεκτρονικού ταχυδρομείου που δημιουργήθηκαν χρησιμοποιώντας την ενότητα "Επικοινωνήστε μαζί μας" σε ιστότοπους. Οι μέθοδοι παράδοσης ήταν παρόμοιες, με ένα ωφέλιμο φορτίο με διαφορετική ονομασία και ένα αρχείο συντόμευσης .lnk να χρησιμοποιείται ξανά.

Σύμφωνα με το Proofpoint, ο φορτωτής μπορεί να χρησιμοποιηθεί ως εργαλείο για την απόκτηση πρόσβασης σε ένα δίκτυο και την παράδοση δευτερευόντων ωφέλιμων φορτίων, συμπεριλαμβανομένου του ransomware.