O carregador de malware Bumblebee foi avistado em novos ataques recentemente, mais de quatro meses após a Europol interromper suas atividades durante a 'Operação Endgame' em maio.
Acredita-se ser uma criação dos desenvolvedores do TrickBot, o malware surgiu em 2022 como substituto do backdoor BazarLoader para fornecer aos atores de ameaça de ransomware acesso às redes das vítimas.
O Bumblebee normalmente consegue infectar através de phishing, malvertising e envenenamento de SEO que promoviam vários softwares (por exemplo, Zooom, Cisco AnyConnect, ChatGPT e Citrix Workspace).
Entre os payloads tipicamente entregues pelo Bumblebee estão beacons do Cobalt Strike, malware de roubo de informações e várias cepas de ransomware.
Em maio, uma operação internacional de aplicação da lei, codinome 'Operação Endgame', apreendeu mais de uma centena de servidores que suportavam as operações de vários carregadores de malware, incluindo IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader e SystemBC.
Desde então, o Bumblebee ficou em silêncio.
No entanto, pesquisadores da empresa de cibersegurança Netskope observaram novas atividades do Bumblebee ligadas ao malware, o que pode indicar um ressurgimento.
A cadeia de ataque do Bumblebee mais recente começa com um email de phishing que atrai a vítima a baixar um arquivo ZIP malicioso.
O arquivo comprimido contém um atalho .LNK nomeado Report-41952.lnk, que dispara o PowerShell para baixar um arquivo .MSI malicioso (y.msi) disfarçado como uma atualização legítima do driver NVIDIA ou instalador do Midjourney de um servidor remoto.
O arquivo MSI é então executado silenciosamente usando msiexec.exe com a opção /qn, o que garante que o processo ocorra sem qualquer interação do usuário.
Para evitar a criação de novos processos, que é mais perceptível, o malware usa a tabela SelfReg dentro da estrutura MSI, que instrui msiexec.exe a carregar a DLL em seu próprio espaço de endereçamento e a invocar sua função DllRegisterServer.
Uma vez que a DLL é carregada e executada, o processo de desembalagem do malware começa, levando à implantação do Bumblebee na memória.
A Netskope comenta que o payload do Bumblebee carrega sua DLL interna assinada e o esquema de nomenclatura de funções exportadas, bem como mecanismos de extração de configuração vistos em variantes anteriores.
A chave RC4 que descriptografa sua configuração nos ataques mais recentes usa a string "NEW_BLACK", enquanto há dois IDs de campanha, nomeadamente "msi" e "lnk001".
A Netskope não forneceu informações sobre os payloads que o Bumblebee soltou ou a escala da campanha, mas o relatório serve como um alerta dos primeiros sinais de um possível ressurgimento.
As listas completas dos indicadores de comprometimento estão disponíveis neste repositório do GitHub.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...