A hackerek új „Bumblebee” nevű rosszindulatú programbetöltőt telepítettek
A kutatók egy új, vadon használt rosszindulatú programbetöltőt fedeztek fel. Az eszközt "Bumblebee"-nek hívják, és számos különböző kiberbűnözői ruhához kapcsolódik.
Az új rosszindulatú programbetöltőt a Proofpoint biztonsági cég választotta ki. A csapat több "bűnözői fenyegető szert" nyomon követett, akik korábban több különböző betöltőt használtak a rosszindulatú programok terjesztésére, ezek a "BazaLoader" és az "IcedID". Most úgy tűnik, hogy a BazaLoader-t használó felszerelések teljesen átálltak a Bumblebee használatára, mivel a Proofpoint 2022 februárja óta egyetlen példányt sem észlelt a régi eszközből.
A BazaLoader-t Bumblebee váltotta fel
A Proofpoint megfigyelései átfedésben vannak a Google Threat Analysis Group által gyűjtött adatokkal. A jelentés szerint miután a BazaLoader februárban eltűnt az online tájakról, a Bumblebee váltotta fel, és az új rakodót a vadonban először 2022 márciusában látták.
A kutatók úgy vélik, hogy a Bumblebee még mindig aktív fejlesztés alatt áll, de ennek ellenére a rakodó már számos fejlett funkcióval rendelkezik. Ide tartoznak a virtuális homokozók elkerülésére szolgáló speciális ellenőrzések és a gyakran használt letöltő funkciók eredeti változatai.
Az Attack rosszindulatú archívumot és ISO-fájlt használ
A Bumblebee-t rosszindulatú e-mail kampányokban használják. A csalik olyan linkeket tartalmaznak, amelyek felszólítják az áldozatot, hogy „NÉZD MEG A DOKUMENTUMOT”, a hivatkozás másik végén pedig a számlát igénylő e-mail található. Ami valójában a másik végén található, az egy lemezkép .iso fájl, amely egy archív fájlba van tömörítve, és a OneDrive-on tárolja.
A zip fájl megnyitásakor megjelenik az .iso benne. Ha ez is megnyílik, két fájl jelenik meg benne. Mindkettő a "Melléklet" nevet viseli. Az egyik egy .lnk parancsikon fájl, a másik egy .dat fájl, amely alig több, mint 2 megabájt.
Ha a parancsikonfájl végrehajtásra kerül, akkor betölti a Bumblebee-t a .dat fájlból, és telepíti a betöltőt.
A Proofpoint úgy véli, hogy a jelenleg Bumblebee-t használó kampányt a TA579 fogantyúját használó fenyegetés szereplője irányítja.
Számos más hasonló kampányt is megfigyeltek, az egyik e-mail-szál-eltérítést, a másik pedig a webhelyek „Kapcsolatfelvétel” szakaszának használatával generált e-mailekkel való visszaélést. A kézbesítési módok hasonlóak voltak, ismét egy más néven hasznos adatot és egy parancsikont tartalmazó .lnk fájlt használtak.
A Proofpoint szerint a betöltő eszközként használható a hálózathoz való hozzáféréshez és másodlagos rakományok szállításához, beleértve a ransomware-t is.