Les pirates informatiques déploient un nouveau chargeur de logiciels malveillants appelé "Bumblebee"
Les chercheurs ont découvert un nouveau chargeur de logiciels malveillants utilisé dans la nature. L'outil s'appelle "Bumblebee" et est associé à plusieurs tenues cybercriminelles différentes.
L'équipe qui a sélectionné le nouveau chargeur de logiciels malveillants fait partie de la société de sécurité Proofpoint. L'équipe suivait plusieurs "équipes de menaces de logiciels criminels" qui utilisaient auparavant deux chargeurs différents pour diffuser des logiciels malveillants, appelés "BazaLoader" et "IcedID". Il semble maintenant que les équipes utilisant BazaLoader soient entièrement passées à l'utilisation de Bumblebee, car Proofpoint n'a pas détecté une seule instance de l'ancien outil depuis février 2022.
BazaLoader remplacé par Bumblebee
Les observations de Proofpoint recoupent les données collectées par le Google Threat Analysis Group. Selon le rapport, après la disparition de BazaLoader du paysage en ligne en février, il a été remplacé par Bumblebee, les premières observations du nouveau chargeur dans la nature datant de mars 2022.
Les chercheurs pensent que Bumblebee est toujours en cours de développement actif, mais malgré cela, le chargeur possède déjà un certain nombre de fonctionnalités avancées. Ceux-ci incluent des vérifications avancées pour esquiver les bacs à sable virtuels et des variantes originales de la fonctionnalité de téléchargement couramment utilisée.
L'attaque utilise une archive malveillante et un fichier ISO
Bumblebee est utilisé dans des campagnes d'e-mails malveillants. Les leurres incluent des liens invitant la victime à "RÉVISER LE DOCUMENT", l'e-mail réclamant une facture se trouvant à l'autre extrémité du lien. Ce qui se trouve vraiment à l'autre bout est un fichier .iso d'image disque, compressé dans un fichier d'archive et hébergé sur OneDrive.
L'ouverture du fichier zip révèle le .iso à l'intérieur. Une fois ouvert également, il affiche deux fichiers à l'intérieur. Les deux sont nommés "Pièce jointe". L'un est un fichier de raccourci .lnk, l'autre est un fichier .dat d'une taille légèrement supérieure à 2 mégaoctets.
Si le fichier de raccourci est exécuté, il charge Bumblebee à partir du fichier .dat et déploie le chargeur.
Proofpoint pense que la campagne utilisant actuellement Bumblebee est dirigée par l'acteur menaçant qui utilise le pseudonyme TA579.
Plusieurs autres campagnes similaires ont également été observées, l'une utilisant le piratage de fils de discussion par e-mail, une autre abusant des e-mails générés à l'aide de la section "Contactez-nous" sur les sites Web. Les méthodes de livraison étaient similaires, avec une charge utile nommée différemment et un fichier de raccourci .lnk étant à nouveau utilisé.
Selon Proofpoint, le chargeur peut être utilisé comme un outil pour accéder à un réseau et fournir des charges utiles secondaires, y compris des ransomwares.