O malware Bumblebee retorna em novos ataques abusando de pastas WebDAV
19 de Setembro de 2023

O carregador de malware 'Bumblebee' interrompeu suas férias de dois meses com uma nova campanha que emprega novas técnicas de distribuição que abusam dos serviços WebDAV do 4shared.

WebDAV (Web Distributed Authoring and Versioning) é uma extensão do protocolo HTTP que permite a clientes realizar operações remotas de criação de conteúdo, como criar, acessar, atualizar e excluir conteúdo de servidor web.

Pesquisadores da Intel471 relatam que a campanha mais recente do Bumblebee, que começou em 7 de setembro de 2023, abusa dos serviços WebDAV do 4shared para distribuir o carregador, acomodar a cadeia de ataque e realizar várias ações pós-infecção.

O abuso da plataforma 4shared, um provedor legítimo e conhecido de serviços de hospedagem de arquivos, ajuda os operadores do Bumblebee a evitar listas de bloqueio e usufruir de alta disponibilidade de infraestrutura.

Ao mesmo tempo, o protocolo WebDAV oferece a eles várias maneiras de contornar os sistemas de detecção de comportamento e a vantagem adicional de uma distribuição simplificada, fácil alternância de carga útil, etc.

A atual campanha Bumblebee conta com emails de malspam que fingem ser verificações, faturas e notificações para atrair os destinatários a baixarem anexos maliciosos.

A maioria dos anexos são arquivos de atalho LNK do Windows, mas também há alguns arquivos ZIP contendo arquivos LNK, provavelmente um sinal de que os operadores do Bumblebee estão experimentando para determinar o que funciona melhor.

Ao abrir o arquivo LNK, uma série de comandos é iniciada na máquina da vítima, começando por um para montar uma pasta WebDAV em uma unidade de rede usando credenciais codificadas para uma conta de armazenamento 4shared.

4Shared é um site de compartilhamento de arquivos que permite aos usuários armazenar arquivos na nuvem e acessá-los via WebDAV, FTP e SFTP. O serviço foi previamente listado no relatório de Mercados Notórios do governo dos EUA de 2016 pela hospedagem de conteúdo protegido por direitos autorais.

Aqui, também, a Intel471 identificou várias variações do conjunto de comandos, desde montar as cópias de arquivos, extrair e executar os arquivos da unidade montada, o que é mais uma indicação de tentativa de otimização.

Intel471 relata ter visto os atores de ameaças experimentando com diferentes métodos para montar cópias de arquivo, extraí-las e executar arquivos da unidade montada, indicando que estão tentando otimizar a cadeia de ataque.

Os analistas também identificaram uma versão atualizada do carregador de malware Bumblebee sendo usado nesta campanha, que mudou do protocolo WebSocket para TCP em comunicações de servidor de comando e controle (C2).

Além disso, o novo carregador abandonou o uso de endereços C2 codificados. Agora usa um algoritmo de geração de domínio (DGA) para gerar 100 domínios no espaço de domínio de nível superior (TLD) ".life" após a execução.

Os domínios são gerados usando um valor de semente estático de 64 bits e o Bumblebee se conecta a eles iterando através da lista criada até encontrar um que resolva para um endereço IP de servidor C2 ativo.

Bumblebee foi anteriormente associado à distribuição de carga útil de ransomware, incluindo Conti e Akira, portanto, adotar um canal de distribuição mais eficiente e evasivo é um desenvolvimento preocupante.

Adotar o DGA também torna mais difícil mapear a infraestrutura do Bumblebee, bloquear seus domínios e interromper significativamente suas operações, adicionando complexidade adicional na implementação de ação preventiva contra o carregador de malware.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...