A hackerek új „Bumblebee” nevű rosszindulatú programbetöltőt telepítettek

A kutatók egy új, vadon használt rosszindulatú programbetöltőt fedeztek fel. Az eszközt "Bumblebee"-nek hívják, és számos különböző kiberbűnözői ruhához kapcsolódik.

Az új rosszindulatú programbetöltőt a Proofpoint biztonsági cég választotta ki. A csapat több "bűnözői fenyegető szert" nyomon követett, akik korábban több különböző betöltőt használtak a rosszindulatú programok terjesztésére, ezek a "BazaLoader" és az "IcedID". Most úgy tűnik, hogy a BazaLoader-t használó felszerelések teljesen átálltak a Bumblebee használatára, mivel a Proofpoint 2022 februárja óta egyetlen példányt sem észlelt a régi eszközből.

A BazaLoader-t Bumblebee váltotta fel

A Proofpoint megfigyelései átfedésben vannak a Google Threat Analysis Group által gyűjtött adatokkal. A jelentés szerint miután a BazaLoader februárban eltűnt az online tájakról, a Bumblebee váltotta fel, és az új rakodót a vadonban először 2022 márciusában látták.

A kutatók úgy vélik, hogy a Bumblebee még mindig aktív fejlesztés alatt áll, de ennek ellenére a rakodó már számos fejlett funkcióval rendelkezik. Ide tartoznak a virtuális homokozók elkerülésére szolgáló speciális ellenőrzések és a gyakran használt letöltő funkciók eredeti változatai.

Az Attack rosszindulatú archívumot és ISO-fájlt használ

A Bumblebee-t rosszindulatú e-mail kampányokban használják. A csalik olyan linkeket tartalmaznak, amelyek felszólítják az áldozatot, hogy „NÉZD MEG A DOKUMENTUMOT”, a hivatkozás másik végén pedig a számlát igénylő e-mail található. Ami valójában a másik végén található, az egy lemezkép .iso fájl, amely egy archív fájlba van tömörítve, és a OneDrive-on tárolja.

A zip fájl megnyitásakor megjelenik az .iso benne. Ha ez is megnyílik, két fájl jelenik meg benne. Mindkettő a "Melléklet" nevet viseli. Az egyik egy .lnk parancsikon fájl, a másik egy .dat fájl, amely alig több, mint 2 megabájt.

Ha a parancsikonfájl végrehajtásra kerül, akkor betölti a Bumblebee-t a .dat fájlból, és telepíti a betöltőt.

A Proofpoint úgy véli, hogy a jelenleg Bumblebee-t használó kampányt a TA579 fogantyúját használó fenyegetés szereplője irányítja.

Számos más hasonló kampányt is megfigyeltek, az egyik e-mail-szál-eltérítést, a másik pedig a webhelyek „Kapcsolatfelvétel” szakaszának használatával generált e-mailekkel való visszaélést. A kézbesítési módok hasonlóak voltak, ismét egy más néven hasznos adatot és egy parancsikont tartalmazó .lnk fájlt használtak.

A Proofpoint szerint a betöltő eszközként használható a hálózathoz való hozzáféréshez és másodlagos rakományok szállításához, beleértve a ransomware-t is.