Les pirates informatiques déploient un nouveau chargeur de logiciels malveillants appelé "Bumblebee"

Les chercheurs ont découvert un nouveau chargeur de logiciels malveillants utilisé dans la nature. L'outil s'appelle "Bumblebee" et est associé à plusieurs tenues cybercriminelles différentes.

L'équipe qui a sélectionné le nouveau chargeur de logiciels malveillants fait partie de la société de sécurité Proofpoint. L'équipe suivait plusieurs "équipes de menaces de logiciels criminels" qui utilisaient auparavant deux chargeurs différents pour diffuser des logiciels malveillants, appelés "BazaLoader" et "IcedID". Il semble maintenant que les équipes utilisant BazaLoader soient entièrement passées à l'utilisation de Bumblebee, car Proofpoint n'a pas détecté une seule instance de l'ancien outil depuis février 2022.

BazaLoader remplacé par Bumblebee

Les observations de Proofpoint recoupent les données collectées par le Google Threat Analysis Group. Selon le rapport, après la disparition de BazaLoader du paysage en ligne en février, il a été remplacé par Bumblebee, les premières observations du nouveau chargeur dans la nature datant de mars 2022.

Les chercheurs pensent que Bumblebee est toujours en cours de développement actif, mais malgré cela, le chargeur possède déjà un certain nombre de fonctionnalités avancées. Ceux-ci incluent des vérifications avancées pour esquiver les bacs à sable virtuels et des variantes originales de la fonctionnalité de téléchargement couramment utilisée.

L'attaque utilise une archive malveillante et un fichier ISO

Bumblebee est utilisé dans des campagnes d'e-mails malveillants. Les leurres incluent des liens invitant la victime à "RÉVISER LE DOCUMENT", l'e-mail réclamant une facture se trouvant à l'autre extrémité du lien. Ce qui se trouve vraiment à l'autre bout est un fichier .iso d'image disque, compressé dans un fichier d'archive et hébergé sur OneDrive.

L'ouverture du fichier zip révèle le .iso à l'intérieur. Une fois ouvert également, il affiche deux fichiers à l'intérieur. Les deux sont nommés "Pièce jointe". L'un est un fichier de raccourci .lnk, l'autre est un fichier .dat d'une taille légèrement supérieure à 2 mégaoctets.

Si le fichier de raccourci est exécuté, il charge Bumblebee à partir du fichier .dat et déploie le chargeur.

Proofpoint pense que la campagne utilisant actuellement Bumblebee est dirigée par l'acteur menaçant qui utilise le pseudonyme TA579.

Plusieurs autres campagnes similaires ont également été observées, l'une utilisant le piratage de fils de discussion par e-mail, une autre abusant des e-mails générés à l'aide de la section "Contactez-nous" sur les sites Web. Les méthodes de livraison étaient similaires, avec une charge utile nommée différemment et un fichier de raccourci .lnk étant à nouveau utilisé.

Selon Proofpoint, le chargeur peut être utilisé comme un outil pour accéder à un réseau et fournir des charges utiles secondaires, y compris des ransomwares.

Par Zaib
April 28, 2022
Computer Security
Français
April 28, 2022
Computer Security

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.