Gli hacker implementano un nuovo caricatore di malware chiamato "Bumblebee"
I ricercatori hanno scoperto un nuovo caricatore di malware utilizzato in natura. Lo strumento si chiama "Bumblebee" ed è associato a diversi abiti di criminali informatici.
Il team che ha selezionato il nuovo caricatore di malware è con la società di sicurezza Proofpoint. Il team stava monitorando diversi "abiti di minacce del crimine" che in precedenza utilizzavano un paio di caricatori diversi per diffondere malware, chiamati "BazaLoader" e "IcedID". Ora sembra che gli outfit che utilizzano BazaLoader siano completamente passati all'utilizzo di Bumblebee, poiché Proofpoint non ha rilevato una singola istanza del vecchio strumento da febbraio 2022.
BazaLoader sostituito da Bumblebee
Le osservazioni di Proofpoint si sovrappongono ai dati raccolti dal gruppo di analisi delle minacce di Google. Secondo il rapporto, dopo che BazaLoader è scomparso dal panorama online a febbraio, è stato sostituito da Bumblebee, con i primi avvistamenti del nuovo caricatore in natura risalenti a marzo 2022.
I ricercatori ritengono che Bumblebee sia ancora attivamente sviluppato, ma nonostante ciò, il caricatore sfoggia già una serie di funzionalità avanzate. Questi includono controlli avanzati per evitare sandbox virtuali e variazioni originali delle funzionalità di downloader comunemente utilizzate.
L'attacco utilizza un archivio dannoso e un file ISO
Bumblebee viene utilizzato in campagne e-mail dannose. Le esche includono collegamenti che invitano la vittima a "REVISIONE DEL DOCUMENTO", con l'e-mail in cui si afferma che una fattura si trova all'altra estremità del collegamento. Quello che c'è davvero dall'altra parte è un file .iso dell'immagine del disco, compresso in un file di archivio e ospitato su OneDrive.
L'apertura del file zip rivela il .iso al suo interno. Una volta aperto anche quello, mostra due file al suo interno. Entrambi sono chiamati "Attachment". Uno è un file di collegamento .lnk, l'altro è un file .dat di dimensioni superiori a 2 megabyte.
Se il file di collegamento viene eseguito, carica Bumblebee dal file .dat e distribuisce il caricatore.
Proofpoint ritiene che la campagna che attualmente utilizza Bumblebee sia gestita dall'attore della minaccia che utilizza il manico TA579.
Sono state osservate anche diverse altre campagne simili, una che utilizzava il dirottamento del thread di posta elettronica, un'altra utilizzava in modo abusivo le e-mail generate utilizzando la sezione "Contattaci" sui siti Web. I metodi di consegna erano simili, con un payload con nome diverso e un file .lnk di collegamento utilizzato di nuovo.
Secondo Proofpoint, il caricatore può essere utilizzato come strumento per accedere a una rete e fornire payload secondari, incluso il ransomware.