Hackers implementeren nieuwe malware-loader genaamd "Bumblebee"

Onderzoekers ontdekten een nieuwe malware-loader die in het wild werd gebruikt. De tool heet "Bumblebee" en wordt geassocieerd met verschillende cybercriminelen.

Het team dat de nieuwe malware-loader uit elkaar heeft gehaald, is bij beveiligingsbedrijf Proofpoint. Het team volgde verschillende "crimeware-bedreigingsoutfits" die eerder een aantal verschillende loaders gebruikten om malware te verspreiden, genaamd "BazaLoader" en "IcedID". Nu lijkt het erop dat de outfits die BazaLoader gebruiken volledig zijn overgestapt op het gebruik van Bumblebee, aangezien Proofpoint sinds februari 2022 geen enkel exemplaar van de oude tool heeft gedetecteerd.

BazaLoader vervangen door Bumblebee

De observaties van Proofpoint overlappen met gegevens die zijn verzameld door de Google Threat Analysis Group. Volgens het rapport werd BazaLoader, nadat hij in februari uit het online landschap was verdwenen, vervangen door Bumblebee, waarbij de eerste waarnemingen van de nieuwe lader in het wild dateren van maart 2022.

De onderzoekers denken dat Bumblebee nog volop in ontwikkeling is, maar desondanks beschikt de loader al over een aantal geavanceerde features. Deze omvatten geavanceerde controles om virtuele sandboxen te ontwijken en originele variaties van veelgebruikte downloaderfunctionaliteit.

Aanval gebruikt kwaadaardig archief en ISO-bestand

Bumblebee wordt gebruikt in kwaadaardige e-mailcampagnes. Kunstaas bevat links die het slachtoffer aansporen om "HERZIEN VAN HET DOCUMENT", met de e-mail waarin wordt beweerd dat een factuur aan de andere kant van de link staat. Wat echt aan de andere kant is, is een .iso-schijfkopiebestand, gecomprimeerd in een archiefbestand en gehost op OneDrive.

Als u het zipbestand opent, wordt de .iso erin weergegeven. Als dat ook is geopend, worden er twee bestanden in weergegeven. Beiden worden "Attachment" genoemd. Een daarvan is een .lnk-snelkoppelingsbestand, de andere is een .dat-bestand van iets meer dan 2 megabyte groot.

Als het snelkoppelingsbestand wordt uitgevoerd, wordt Bumblebee geladen vanuit het .dat-bestand en wordt de lader geïmplementeerd.

Proofpoint is van mening dat de campagne die momenteel Bumblebee gebruikt, wordt geleid door de dreigingsactor aan de hendel TA579.

Verschillende andere soortgelijke campagnes werden ook waargenomen, één met het kapen van e-mailthreads en een andere met misbruik van e-mails die werden gegenereerd met behulp van de sectie "Contact" op websites. De leveringsmethoden waren vergelijkbaar, met een andere naam voor payload en een snelkoppeling .lnk-bestand dat opnieuw werd gebruikt.

Volgens Proofpoint kan de loader worden gebruikt als een tool om toegang te krijgen tot een netwerk en secundaire payloads te leveren, waaronder ransomware.