Hakerzy wdrażają nowy program ładujący złośliwe oprogramowanie o nazwie „Bumblebee”
Badacze odkryli, że nowy program ładujący złośliwe oprogramowanie jest używany na wolności. Narzędzie nazywa się „Bumblebee” i jest powiązane z kilkoma różnymi strojami cyberprzestępczymi.
Zespół, który wybrał nowy program ładujący złośliwe oprogramowanie, współpracuje z firmą zajmującą się bezpieczeństwem Proofpoint. Zespół śledził kilka „grup zajmujących się cyberprzestępczością”, które wcześniej używały do rozprzestrzeniania złośliwego oprogramowania kilku różnych programów ładujących, zwanych „BazaLoader” i „IcedID”. Teraz wygląda na to, że stroje korzystające z BazaLoadera całkowicie przeszły na używanie Bumblebee, ponieważ Proofpoint nie wykrył ani jednej instancji starego narzędzia od lutego 2022 roku.
BazaLoader zastąpiony przez Bumblebee
Obserwacje Proofpoint pokrywają się z danymi zebranymi przez Google Threat Analysis Group. Według raportu, po tym, jak BazaLoader zniknął z krajobrazu online w lutym, został zastąpiony przez Bumblebee, a pierwsze obserwacje nowego modułu ładującego na wolności datuje się na marzec 2022 r.
Naukowcy uważają, że Bumblebee wciąż jest aktywnie rozwijany, ale mimo to ładowarka ma już wiele zaawansowanych funkcji. Obejmują one zaawansowane kontrole umożliwiające unikanie wirtualnych piaskownic i oryginalne odmiany powszechnie używanej funkcjonalności downloadera.
Atak wykorzystuje złośliwe archiwum i plik ISO
Bumblebee jest wykorzystywany w złośliwych kampaniach e-mailowych. Wabiące zawierają linki zachęcające ofiarę do „PRZEJRZYJ DOKUMENT”, a e-mail z informacją o fakturze znajduje się na drugim końcu linku. To, co naprawdę jest na drugim końcu, to plik obrazu dysku .iso, spakowany w pliku archiwum i hostowany na OneDrive.
Otwarcie pliku zip ujawnia znajdujący się w nim plik .iso. Po otwarciu również pokazuje dwa pliki w środku. Oba noszą nazwę „Załącznik”. Jeden to plik skrótu .lnk, drugi to plik .dat o rozmiarze nieco ponad 2 megabajty.
Jeśli plik skrótu zostanie uruchomiony, ładuje Bumblebee z pliku .dat i wdraża program ładujący.
Proofpoint uważa, że kampania, w której obecnie używa się Bumblebee, jest prowadzona przez aktora grożącego za pomocą uchwytu TA579.
Zaobserwowano również kilka innych podobnych kampanii, jedną wykorzystującą przejmowanie wątków e-mail, a drugą nadużywającą wiadomości e-mail generowanych za pomocą sekcji „Skontaktuj się z nami” na stronach internetowych. Metody dostarczania były podobne, z innym nazwanym ładunkiem i ponownie użytym plikiem skrótu .lnk.
Według Proofpoint moduł ładujący może być używany jako narzędzie do uzyskiwania dostępu do sieci i dostarczania dodatkowych ładunków, w tym oprogramowania ransomware.