Hackere distribuerer ny malware-laster kalt "Bumblebee"

Forskere oppdaget en ny malware-laster som ble brukt i naturen. Verktøyet heter «Bumblebee» og er assosiert med flere forskjellige nettkriminelle antrekk.

Teamet som plukket fra hverandre den nye skadevarelasteren er hos sikkerhetsfirmaet Proofpoint. Teamet sporet flere "kriminalitetstrusselantrekk" som tidligere brukte et par forskjellige lastere for å spre skadelig programvare, kalt "BazaLoader" og "IcedID". Nå ser det ut til at antrekkene som bruker BazaLoader har gått over til å bruke Bumblebee, ettersom Proofpoint ikke har oppdaget en eneste forekomst av det gamle verktøyet siden februar 2022.

BazaLoader erstattet av Bumblebee

Proofpoints observasjoner overlapper med data samlet inn av Google Threat Analysis Group. Ifølge rapporten, etter at BazaLoader forsvant fra nettlandskapet i februar, ble den erstattet av Bumblebee, med de første observasjonene av den nye lasteren i naturen datert til mars 2022.

Forskerne mener Bumblebee fortsatt utvikles aktivt, men til tross for dette har lasteren allerede en rekke avanserte funksjoner. Disse inkluderer avanserte kontroller for å unngå virtuelle sandkasser og originale varianter av ofte brukte nedlastningsfunksjoner.

Attack bruker ondsinnet arkiv og ISO-fil

Bumblebee blir brukt i ondsinnede e-postkampanjer. Lokk inkluderer lenker som oppfordrer offeret til å "GJENNOMGÅ DOKUMENTET", med e-posten som hevder at en faktura er i den andre enden av lenken. Det som egentlig er i den andre enden er et diskbilde .iso-fil, zippet opp i en arkivfil og vert på OneDrive.

Åpning av zip-filen avslører .iso inne i den. Når den også er åpnet, viser den to filer i den. Begge heter «vedlegg». Den ene er en .lnk-snarveisfil, den andre er en .dat-fil som er litt over 2 megabyte stor.

Hvis snarveisfilen kjøres, laster den opp Bumblebee fra .dat-filen og distribuerer lasteren.

Proofpoint mener kampanjen som for tiden bruker Bumblebee, drives av trusselaktøren som går etter håndtaket TA579.

Flere andre lignende kampanjer ble også observert, én brukte e-posttrådkapring, en annen misbrukte e-poster som ble generert ved hjelp av «Kontakt oss»-delen på nettsteder. Leveringsmetoder var like, med en nyttelast med annet navn og en snarvei .lnk-fil som ble brukt igjen.

Ifølge Proofpoint kan lasteren brukes som et verktøy for å få tilgang til et nettverk og levere sekundære nyttelaster, inkludert løsepengevare.