Hackers implantam novo carregador de malware chamado "Bumblebee"

Os pesquisadores descobriram um novo carregador de malware sendo usado na natureza. A ferramenta é chamada de "Bumblebee" e está associada a vários equipamentos cibercriminosos diferentes.

A equipe que separou o novo carregador de malware é da empresa de segurança Proofpoint. A equipe estava rastreando vários "equipamentos de ameaças de crimeware" que anteriormente usavam alguns carregadores diferentes para espalhar malware, chamados "BazaLoader" e "IcedID". Agora parece que as roupas que usam o BazaLoader mudaram completamente para o Bumblebee, já que a Proofpoint não detectou uma única instância da ferramenta antiga desde fevereiro de 2022.

BazaLoader substituído por Bumblebee

As observações da Proofpoint se sobrepõem aos dados coletados pelo Google Threat Analysis Group. De acordo com o relatório, depois que o BazaLoader desapareceu do cenário online em fevereiro, ele foi substituído pelo Bumblebee, com os primeiros avistamentos do novo carregador na natureza datando de março de 2022.

Os pesquisadores acreditam que o Bumblebee ainda está sendo desenvolvido ativamente, mas, apesar disso, o carregador já possui vários recursos avançados. Isso inclui verificações avançadas para evitar sandboxes virtuais e variações originais da funcionalidade de downloader comumente usada.

Ataque usa arquivo malicioso e arquivo ISO

Bumblebee está sendo usado em campanhas de e-mail maliciosas. As iscas incluem links que incitam a vítima a "REVISAR O DOCUMENTO", com o e-mail alegando que uma fatura está na outra extremidade do link. O que está realmente do outro lado é um arquivo .iso de imagem de disco, compactado em um arquivo morto e hospedado no OneDrive.

Abrir o arquivo zip revela o .iso dentro dele. Uma vez aberto também, mostra dois arquivos dentro dele. Ambos são chamados de "Anexo". Um é um arquivo de atalho .lnk, o outro é um arquivo .dat com pouco mais de 2 megabytes de tamanho.

Se o arquivo de atalho for executado, ele carrega o Bumblebee do arquivo .dat e implanta o carregador.

A Proofpoint acredita que a campanha atualmente usando o Bumblebee é executada pelo agente da ameaça que usa o identificador TA579.

Várias outras campanhas semelhantes também foram observadas, uma usando o sequestro de tópicos de e-mail, outra abusando de e-mails gerados usando a seção "Fale conosco" em sites. Os métodos de entrega eram semelhantes, com um payload com nome diferente e um arquivo .lnk de atalho sendo usado novamente.

De acordo com a Proofpoint, o carregador pode ser usado como uma ferramenta para obter acesso a uma rede e entregar cargas secundárias, incluindo ransomware.