Bumblebee est le nom d'un nouveau téléchargeur de logiciels malveillants utilisé par plusieurs acteurs de la menace qui livraient auparavant BazaLoader et IcedID. En d'autres termes, ces acteurs de la menace ont remplacé les deux éléments malveillants par le nouveau Bumblebee. BazaLoader, en particulier, n'a pas été observé dans les campagnes actives depuis février 2022, Les chercheurs de Proofpoint ont déclaré.
Qu'est-ce que le téléchargeur de logiciels malveillants Bumblebee?
La toute première chose à noter est que le malware Bumblebee est encore en phase de développement.
C'est un téléchargeur codé en C++. Au niveau de ses spécifications techniques, l'échantillon initial de DLL Bumblebee analysé par les chercheurs contient deux exportations, dont un démarrant directement le thread pour la fonction principale de Bumblebee. L'autre est conçu pour mener à la même fonction principale, mais il ajoute également des vérifications pour voir si des crochets ont été placés dans les principales bibliothèques de liens dynamiques (DLL).
La plupart de Bumblebee est condensé en une seule fonction, ce qui le rend différent de la plupart des logiciels malveillants où l'initialisation, demande d'envoi, et la gestion des réponses sont réparties en différentes fonctions.
Suivant, “le chargeur commence par copier l'ID de groupe qui est effectivement utilisé comme identifiant de botnet. Contrairement à la plupart des autres logiciels malveillants, Bumblebee a actuellement sa configuration stockée en clair, mais Proofpoint soupçonne que l'obscurcissement pourrait être ajouté à l'avenir. Avec l'ID de groupe copié, le chargeur résout les adresses pour diverses fonctions NTDLL qui lui permettent d'effectuer correctement l'injection plus tard dans le processus de chargement,” les chercheurs ont expliqué.
Distribution de logiciels malveillants Bumblebee
La propagation de Bumblebee coïncide avec la disparition de BazaLoader. BazaLoader a été largement distribué l'année dernière via une campagne malveillante qui a utilisé des centres d'appels frauduleux pour inciter les utilisateurs à télécharger le logiciel malveillant sur leurs machines.. La campagne BazaCall s'est avérée plus dangereuse qu'on ne le pensait initialement. La raison du niveau de menace plus élevé est que, en plus d'avoir des capacités de porte dérobée, BazaLoader pourrait accorder aux attaquants distants un "contrôle manuel du clavier sur l'appareil d'un utilisateur affecté,” leur permettant d'effectuer une compromission complète du réseau.
Maintenant, Le téléchargeur Bumblebee est là pour remplacer BazaLoader. Les acteurs de la menace à l'origine de ces nouvelles campagnes sont associés à des charges utiles malveillantes liées à des infections de rançongiciels conséquentes.
En termes de répartition, ProofPoint a déclaré que le logiciel malveillant utilise campagnes de spam lancé par au moins trois acteurs malveillants suivis utilisant plusieurs techniques de livraison. « Tandis que les leurres, techniques de livraison, et les noms de fichiers sont généralement personnalisés en fonction des différents acteurs de la menace distribuant les campagnes, Proofpoint a observé plusieurs points communs entre les campagnes, comme l'utilisation de fichiers ISO contenant des fichiers de raccourci et des DLL et un point d'entrée DLL commun utilisé par plusieurs acteurs au cours de la même semaine,»Le rapport note.
Le fait que le malware Bumblebee soit utilisé par plusieurs cybercriminels et le moment de sa production montrent que le paysage des menaces évolue considérablement. En raison des spécificités des campagnes de logiciels malveillants, les chercheurs pensent également que les acteurs de la menace derrière les opérations sont des courtiers d'accès initiaux. Accès initial au réseau est ce qui amène les pirates malveillants à l'intérieur du réseau d'une organisation. Les acteurs de la menace qui le vendent créent un pont entre les campagnes opportunistes et les attaquants ciblés. Dans la plupart des cas, ce sont des opérateurs de ransomware.
En conclusion, l'analyse réalisé par Proofpoint, et le fait que le malware est encore en développement, met en évidence la probabilité que Bumblebee continue d'être utilisé par divers acteurs de la menace dans plusieurs campagnes.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: