Bumblebee è il nome di un nuovo downloader di malware utilizzato da più attori di minacce che in precedenza hanno distribuito BazaLoader e IcedID. In altre parole, questi attori delle minacce hanno sostituito i due pezzi di malware con il nuovo Bumblebee. Caricatore di baza, in particolare, non è stato osservato nelle campagne attive da febbraio 2022, I ricercatori di Proofpoint hanno detto.
Che cos'è il downloader di malware Bumblebee?
La prima cosa da notare è che il malware Bumblebee è ancora in una fase di sviluppo.
È un downloader codificato in C++. Per quanto riguarda le sue specifiche tecniche, il campione iniziale di Bumblebee DLL analizzato dai ricercatori contiene due esportazioni, uno dei quali avvia direttamente il thread per la funzione principale di Bumblebee. L'altro è progettato per portare alla stessa funzione principale, ma aggiunge anche controlli per vedere se gli hook sono stati inseriti all'interno delle librerie di collegamenti dinamici chiave (DLL).
La maggior parte di Bumblebee è condensata in un'unica funzione, il che lo rende diverso dalla maggior parte dei malware in cui l'inizializzazione, richiesta invio, e la gestione della risposta sono suddivise in diverse funzioni.
Il Prossimo, “il caricatore inizia con la copia dell'ID gruppo che viene effettivamente utilizzato come identificatore botnet. A differenza della maggior parte degli altri malware, Bumblebee ha attualmente la sua configurazione memorizzata in chiaro, ma Proofpoint sospetta che l'offuscamento possa essere aggiunto in futuro. Con l'ID del gruppo copiato, il caricatore risolve gli indirizzi per varie funzioni NTDLL che gli consentono di eseguire correttamente l'iniezione più avanti nel processo di caricamento,” i ricercatori hanno spiegato.
Distribuzione di malware Bumblebee
La diffusione di Bumblebee coincide con la scomparsa di Caricatore di baza. BazaLoader è stato ampiamente distribuito l'anno scorso tramite una campagna dannosa che utilizzava call center fraudolenti per indurre gli utenti a scaricare il malware sui loro computer. La campagna BazaCall si è rivelata più pericolosa di quanto inizialmente sospettato. Il motivo del livello di minaccia più elevato è quello, oltre ad avere capacità backdoor, BazaLoader potrebbe garantire agli aggressori remoti "il controllo pratico della tastiera sul dispositivo di un utente interessato,” consentendo loro di eseguire il compromesso completo della rete.
Ora, Il downloader di Bumblebee è qui per sostituire BazaLoader. Gli attori delle minacce dietro queste nuove campagne sono associati a payload dannosi legati a conseguenti infezioni da ransomware.
In termini di distribuzione, ProofPoint ha affermato che il malware sta utilizzando campagne di spam avviato da almeno tre attori delle minacce monitorati utilizzando più tecniche di consegna. “Mentre attira, tecniche di consegna, e i nomi dei file sono in genere personalizzati per i diversi attori delle minacce che distribuiscono le campagne, Proofpoint ha osservato diversi punti in comune tra le campagne, come l'uso di file ISO contenenti file di collegamento e DLL e un punto di ingresso DLL comune utilizzato da più attori nella stessa settimana,"Osserva il rapporto.
Il fatto che il malware Bumblebee sia utilizzato da più criminali informatici e i tempi della sua produzione mostrano che il panorama delle minacce sta cambiando notevolmente. A causa delle specificità delle campagne di malware, i ricercatori ritengono inoltre che gli attori delle minacce dietro le operazioni siano broker di accesso iniziale. Accesso iniziale alla rete è ciò che attira gli hacker malintenzionati all'interno della rete di un'organizzazione. Gli attori delle minacce che lo vendono creano un ponte tra le campagne opportunistiche e gli aggressori mirati. Nella maggior parte dei casi, questi sono operatori di ransomware.
Insomma, le analisi condotto da Proofpoint, e il fatto che il malware è ancora in fase di sviluppo, evidenzia la probabilità che Bumblebee continuerà ad essere utilizzato da vari attori di minacce in più campagne.