Casa > Ciber Noticias > Nuevo Bumblebee Malware Downloader utilizado para el acceso inicial a la red
CYBER NOTICIAS

Nuevo Bumblebee Malware Downloader utilizado para el acceso inicial a la red

Nuevo Bumblebee Malware Downloader utilizado para el acceso inicial a la red

Bumblebee es el nombre de un nuevo descargador de malware utilizado por múltiples actores de amenazas que anteriormente entregaron BazaLoader y IcedID. En otras palabras, estos actores de amenazas han reemplazado las dos piezas de malware con el nuevo Bumblebee. BazaCargador, en particular, no se ha observado en campañas activas desde febrero 2022, Los investigadores de Proofpoint dijeron.

¿Qué es el descargador de malware Bumblebee??

Lo primero que hay que tener en cuenta es que el malware Bumblebee todavía se encuentra en una fase de desarrollo..

Es un descargador codificado en C++. En cuanto a sus especificaciones técnicas, la muestra inicial de Bumblebee DLL analizada por los investigadores contiene dos exportaciones, uno de los cuales inicia directamente el hilo para la función principal de Bumblebee. El otro está diseñado para llevar a la misma función principal., pero también agrega comprobaciones para ver si se han colocado ganchos dentro de las bibliotecas de enlaces dinámicos clave (DLL).




La mayor parte de Bumblebee se condensa en una sola función, lo que lo hace diferente a la mayoría de los programas maliciosos donde la inicialización, solicitud de envío, y el manejo de respuestas se dividen en diferentes funciones.

Siguiente, “el cargador comienza copiando el ID de grupo que se usa efectivamente como identificador de botnet. A diferencia de la mayoría de los otros programas maliciosos, Bumblebee actualmente tiene su configuración almacenada en texto sin formato, pero Proofpoint sospecha que es posible que se agregue ofuscación en el futuro. Con el ID de grupo copiado, el cargador resuelve direcciones para varias funciones NTDLL que le permiten realizar correctamente la inyección más adelante en el proceso de carga,” los investigadores explicaron.

Distribución de malware de abejorro

La expansión de Bumblebee coincide con la desaparición de BazaCargador. BazaLoader se distribuyó ampliamente el año pasado a través de una campaña maliciosa que utilizó centros de llamadas fraudulentos para engañar a los usuarios para que descargaran el malware en sus máquinas.. La campaña BazaCall resultó ser más peligrosa de lo que inicialmente se sospechaba. La razón del mayor nivel de amenaza es que, además de tener capacidades de puerta trasera, BazaLoader podría otorgar a los atacantes remotos "control manual en el teclado en el dispositivo de un usuario afectado,” permitiéndoles realizar un compromiso completo de la red.

Ahora, El descargador de Bumblebee está aquí para reemplazar a BazaLoader. Los actores de amenazas detrás de estas nuevas campañas están asociados con cargas maliciosas vinculadas a infecciones de ransomware consecuentes..

En términos de distribución, ProofPoint dijo que el malware está usando campañas malspam iniciado por al menos tres actores de amenazas rastreados utilizando múltiples técnicas de entrega. “Mientras señuelos, técnicas de entrega, y los nombres de archivo generalmente se personalizan para los diferentes actores de amenazas que distribuyen las campañas., Proofpoint observó varios puntos en común en todas las campañas, como el uso de archivos ISO que contienen archivos de acceso directo y DLL y un punto de entrada de DLL común utilizado por múltiples actores dentro de la misma semana,”Señaló el informe.

El hecho de que el malware Bumblebee sea utilizado por múltiples ciberdelincuentes y el momento de su producción muestran que el panorama de las amenazas está cambiando notablemente.. Debido a las especificidades de las campañas de malware, los investigadores también creen que los actores de amenazas detrás de las operaciones son intermediarios de acceso inicial. Acceso inicial a la red es lo que hace que los hackers malintencionados entren en la red de una organización. Los actores de amenazas que lo venden crean un puente entre las campañas oportunistas y los atacantes dirigidos. En la mayoría de los casos, estos son operadores de ransomware.




En conclusión, el analisis realizado por Proofpoint, y el hecho de que el malware todavía está en desarrollo, destaca la probabilidad de que Bumblebee continúe siendo utilizado por varios actores de amenazas en múltiples campañas.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo