Хакеры внедряют новый загрузчик вредоносных программ под названием «Шмель»

Исследователи обнаружили новый загрузчик вредоносного ПО, который активно используется. Инструмент называется «Шмель» и связан с несколькими различными киберпреступными группировками.

Команда, разобравшая новый загрузчик вредоносного ПО, работает в охранной фирме Proofpoint. Команда отслеживала несколько «криминальных групп», которые ранее использовали несколько разных загрузчиков для распространения вредоносных программ, называемых «BazaLoader» и «IcedID». Теперь кажется, что компании, использующие BazaLoader, полностью перешли на использование Bumblebee, поскольку Proofpoint не обнаружил ни одного экземпляра старого инструмента с февраля 2022 года.

BazaLoader заменен на Bumblebee

Наблюдения Proofpoint совпадают с данными, собранными Группой анализа угроз Google. Согласно отчету, после того, как BazaLoader исчез из онлайн-пространства в феврале, его заменил Bumblebee, а первые появления нового загрузчика в дикой природе датируются мартом 2022 года.

Исследователи считают, что Bumblebee все еще активно развивается, но, несмотря на это, загрузчик уже обладает рядом продвинутых функций. К ним относятся расширенные проверки для обхода виртуальных песочниц и оригинальные варианты часто используемых функций загрузчика.

Атака использует вредоносный архив и файл ISO

Bumblebee используется во вредоносных кампаниях по электронной почте. Приманки включают в себя ссылки, побуждающие жертву «ПРОСМОТРЕТЬ ДОКУМЕНТ», с электронным письмом, в котором утверждается, что счет-фактура находится на другом конце ссылки. Что на самом деле находится на другом конце, так это файл образа диска .iso, заархивированный в архивный файл и размещенный на OneDrive.

При открытии zip-файла внутри него находится .iso. Когда он тоже открывается, он показывает два файла внутри него. Оба они называются «Приложение». Один представляет собой файл ярлыка .lnk, другой — файл .dat размером чуть более 2 мегабайт.

Если файл ярлыка выполняется, он загружает Bumblebee из файла .dat и развертывает загрузчик.

Proofpoint считает, что кампанией, в настоящее время использующей Bumblebee, руководит злоумышленник, работающий под псевдонимом TA579.

Также наблюдалось несколько других подобных кампаний, одна из которых использовала перехват ветки электронной почты, а другая — злоупотребление электронными письмами, созданными с использованием раздела «Свяжитесь с нами» на веб-сайтах. Методы доставки были схожими, с другим именем полезной нагрузки и ярлыком .lnk-файла.

Согласно Proofpoint, загрузчик можно использовать как инструмент для получения доступа к сети и доставки вторичных полезных нагрузок, включая программы-вымогатели.