Anúncios do Google distribuem malware BumbleBee usado por grupos de ransomware
24 de Abril de 2023

O malware Bumblebee direcionado a empresas é distribuído por meio de anúncios do Google e envenenamento de SEO que promovem softwares populares como Zoom, Cisco AnyConnect, ChatGPT e Citrix Workspace.

Bumblebee é um carregador de malware descoberto em abril de 2022, pensado em ter sido desenvolvido pela equipe Conti como substituto do backdoor BazarLoader, usado para obter acesso inicial a redes e realizar ataques de ransomware.

Em setembro de 2022, uma nova versão do carregador de malware foi observada, apresentando uma cadeia de ataque mais furtiva que usava o framework PowerSploit para injeção de DLL refletiva na memória.

Pesquisadores da Secureworks descobriram recentemente uma nova campanha usando anúncios do Google que promovem versões trojanizadas de aplicativos populares para fornecer o carregador de malware a vítimas desprevenidas.

Uma das campanhas vistas pela SecureWorks começou com um anúncio do Google que promovia uma página falsa de download do Cisco AnyConnect Secure Mobility Client criada em 16 de fevereiro de 2023 e hospedada em um domínio "appcisco".

"Uma cadeia de infecção que começou com um anúncio malicioso do Google enviou o usuário para esta página de download falsa por meio de um site WordPress comprometido", explica o relatório da SecureWorks.

Esta página de destino falsa promoveu um instalador MSI trojanizado chamado "cisco-anyconnect-4_9_0195.msi" que instala o malware BumbleBee.

Ao ser executado, uma cópia do instalador legítimo do programa e um script do PowerShell com um nome enganoso (cisco2.ps1) são copiados para o computador do usuário.

O CiscoSetup.exe é o instalador legítimo do AnyConnect, instalando o aplicativo no dispositivo para evitar suspeitas.

No entanto, o script PowerScrip instala o malware BumbleBee e realiza atividades maliciosas no dispositivo comprometido.

"O script do PowerShell contém uma seleção de funções renomeadas copiadas do script ReflectivePEInjection.ps1 do PowerSploit", explica a Secureworks.

"Também contém uma payload de malware Bumblebee codificada que é carregada refletivamente na memória".

Isso significa que o Bumblebee ainda usa o mesmo módulo de estrutura pós-exploração para carregar o malware na memória sem levantar alarmes de produtos antivírus existentes.

A Secureworks encontrou outros pacotes de software com pares de arquivos com nomes semelhantes, como ZoomInstaller.exe e zoom.ps1, ChatGPT.msi e chch.ps1 e CitrixWorkspaceApp.exe e citrix.ps1.

Considerando que o software trojanizado está direcionado a usuários corporativos, dispositivos infectados são candidatos ao início de ataques de ransomware.

A Secureworks examinou de perto um dos recentes ataques do Bumblebee.

Eles descobriram que o ator da ameaça alavancou seu acesso ao sistema comprometido para se mover lateralmente na rede aproximadamente três horas após a infecção inicial.

As ferramentas que os atacantes implantaram no ambiente comprometido incluem a suíte de teste de penetração Cobalt Strike, as ferramentas de acesso remoto AnyDesk e DameWare, utilitários de varredura de rede, um dumper de banco de dados AD e um ladrão de credenciais Kerberos.

Este arsenal cria um perfil de ataque que torna muito provável que os operadores de malware estejam interessados em identificar pontos de rede acessíveis, pivô em outras máquinas, exfiltrar dados e, eventualmente, implantar ransomware.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...