Hackers están usando el nuevo cargador de malware Bumblebee

Los hackers que se observaron anteriormente entregando BazaLoader e IceID como parte de sus campañas de malware han hecho la transición a un nuevo cargador llamado Bumblebee que está en desarrollo activo.

«Según el momento de su aparición en el panorama de amenazas y el uso por parte de múltiples grupos de ciberdelincuentes, es probable que Bumblebee sea, si no un reemplazo directo de BazaLoader, una nueva herramienta multifuncional utilizada por actores que históricamente favorecieron a otro malware», dijo la compañía de seguridad Proofpoint.

Las campañas que distribuyen el nuevo cargador altamente sofisticado comenzaron en marzo de 2022, mientras se superponen con actividades maliciosas que conducen al despliegue de ransomware Conti y Diavol, lo que aumenta la posibilidad de que el cargador actúe como precursor de ataques de ransomware.

«Los actores de amenazas que usan Bumblebee están asociados con cargas útiles de malware que se han vinculado a campañas de ransomware de seguimiento», dijeron los investigadores.

Además de presentar controles antivirtualización, Bumblebee está escrito en C++ y está diseñado para actuar como un descargador para recuperar y ejecutar cargas útiles de siguiente etapa, incluidos Cobalt Strike, Sliver, Meterpreter y Shellcode.

La mayor detección del cargador de malware en el panorama de amenazas corresponde a una caída en las implementaciones de BazaLoader desde febrero de 2022, otro cargador popular utilizado para entregar malware de cifrado de archivos y desarrollado por el grupo ahora desaparecido, TrickBot, que desde entonces ha sido absorbido por Conti.

Las cadenas de ataque que distribuyen Bumblebee tomaron la forma de señuelos de phishing de correo electrónico con la marca DocuSign, que incorporan enlaces fraudulentos o archivos adjuntos HTML, lo que lleva a las víctimas potenciales a un archivo ISO comprimido alojado en Microsoft OneDrive.

Además, la URL incrustada en el archivo adjunto HTML utiliza un sistema de dirección de tráfico (TDS) denominado Prometheus, que está disponible para la venta en plataformas clandestinas por 250 dólares al mes, para redirigir las URL a los archivos de almacenamiento en función de la zona horaria y cookies de las víctimas.

Los archivos ZIP, a su vez, incluyen archivos .LNK y .DAT, y el archivo de acceso directo de Windows ejecuta este último que contiene el descargador de Bumblebee, antes de usarlo para entregar el malware BazaLoader e IceID.

Una segunda campaña en abril de 2022 involucró un esquema de secuestro de hilos en el que se tomaron correos electrónicos legítimos con temas de facturas para enviar archivos ISO comprimidos, que luego se utilizaron para ejecutar un archivo DLL para activar el cargador.

También se ha observado el abuso del formulario de contacto presente en el sitio web del objetivo para enviar un mensaje reclamando violaciones de derechos de autor de las imágenes, dirigiendo a la víctima a un enlace de Google Cloud Storage, que resulta en la descarga de un archivo ISO comprimido, siguiendo así la secuencia de infección antes mencionada.

La transición de BazaLoader a Bumblebee es una prueba más de que estos actores de amenazas, probablemente corredores de acceso inicial que se infiltran en los objetivos y luego venden ese acceso a otros, están recibiendo el malware de una fuente común, al tiempo que señalan una partida después de que el conjunto de herramientas de ataque del grupo Conti se convirtió en conocimiento público al mismo tiempo.

El desarrollo también coincide con el hecho de que Conti se hizo cargo de la red de bots de TrickBot y la cerró para centrarse en el desarrollo del malware BazaLoader y Anchor. No está claro aún si Bumblebee es obra de los actores de TrickBot y si las filtraciones llevaron al grupo a abandonar BazaLoader en favor de un malware completamente nuevo.

Pero el investigador de malware de Cybereason, Eli Salem, en un análisis independiente, identificó puntos de similitudes entre Bumblebee y TrickBot, incluido el uso del módulo de inyección web de este último y la misma técnica de evasión, dando crédito a la posibilidad de que los autores detrás de Bumblebee hayan tenido acceso al código fuente de TrickBot.

«La introducción del cargador Bumblebee en el panorama de amenazas de crimeware y su aparente reemplazo para BazaLoader demuestra la flexibilidad que tienen los actores de amenazas para cambiar rápidamente los TTP y adoptar nuevo malware», dijo Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint.

«Además, el malware es bastante sofisticado y demuestra estar en desarrollo activo y continuo, introduciendo nuevos métodos para evadir la detección», agregó DeGrippo.

Grupo de WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Grupo de Telegram: https://t.me/Masterhacks_net

Donaciones
Gracias por apoyar el libre conocimiento! Puedes donar la cantidad que tú desees.
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: DQQyKHdtvFiB4zW87Kvp9Wna3bcyL3ukQz
BCH: qqnkqcu8sa90zuuzd2nvdrslgdv3u5ta6cy4ch0rnq
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Transferencia bancaria México: CLABE: 646180192143715428 a nombre de Masterhacks LATAM, Banco: STP

Deja una respuesta

Tu dirección de correo electrónico no será publicada.