Bumblebee é o nome de um novo downloader de malware usado por vários agentes de ameaças que anteriormente entregavam o BazaLoader e IcedID. Em outras palavras, esses agentes de ameaças substituíram as duas peças de malware pelo Bumblebee mais recente. BazaLoader, em particular, não é observado em campanhas ativas desde fevereiro 2022, Pesquisadores da Proofpoint disseram.
O que é o downloader de malware Bumblebee?
A primeira coisa a notar é que o malware Bumblebee ainda está em fase de desenvolvimento.
É um downloader codificado em C++. Em suas especificações técnicas, a amostra inicial do Bumblebee DLL analisada pelos pesquisadores contém duas exportações, um dos quais iniciando diretamente o thread para a função principal do Bumblebee. O outro é projetado para levar à mesma função principal, mas também adiciona verificações para ver se os ganchos foram colocados nas principais bibliotecas de links dinâmicos (DLLs).
A maior parte do Bumblebee é condensada em uma única função, o que o torna diferente da maioria dos malwares em que a inicialização, solicitação de envio, e tratamento de resposta são divididos em diferentes funções.
Próximo, “o carregador começa copiando o ID do grupo que é efetivamente usado como identificador de botnet. Ao contrário da maioria dos outros malwares, Bumblebee atualmente tem sua configuração armazenada em texto simples, mas a Proofpoint suspeita que a ofuscação pode ser adicionada no futuro. Com o ID do grupo copiado, o carregador resolve endereços para várias funções NTDLL que permitem que ele execute a injeção corretamente mais tarde no processo de carregamento,” os pesquisadores explicaram.
Distribuição de malware Bumblebee
A disseminação de Bumblebee coincide com o desaparecimento de BazaLoader. O BazaLoader foi amplamente distribuído no ano passado por meio de uma campanha maliciosa que usou call centers fraudulentos para induzir os usuários a baixar o malware em suas máquinas. A campanha BazaCall acabou sendo mais perigosa do que se suspeitava inicialmente. A razão para o nível de ameaça mais alto é que, além de ter recursos de backdoor, O BazaLoader pode conceder a invasores remotos “controle prático pelo teclado no dispositivo de um usuário afetado,” permitindo que eles executem o comprometimento total da rede.
Agora, O downloader Bumblebee está aqui para substituir o BazaLoader. Os agentes de ameaças por trás dessas novas campanhas estão associados a cargas maliciosas vinculadas a conseqüentes infecções de ransomware.
Em termos de distribuição, A ProofPoint disse que o malware está usando campanhas de spam iniciado por pelo menos três agentes de ameaças rastreados usando várias técnicas de entrega. “Enquanto atrai, técnicas de entrega, e os nomes dos arquivos geralmente são personalizados para os diferentes agentes de ameaças que distribuem as campanhas, A Proofpoint observou vários pontos em comum entre as campanhas, como o uso de arquivos ISO contendo arquivos de atalho e DLLs e um ponto de entrada DLL comum usado por vários atores na mesma semana,”O relatório observou.
O fato de o malware Bumblebee ser usado por vários cibercriminosos e o momento de sua produção mostram que o cenário de ameaças está mudando notavelmente. Devido às especificidades das campanhas de malware, os pesquisadores também acreditam que os agentes de ameaças por trás das operações são corretores de acesso inicial. Acesso inicial à rede é o que faz com que hackers maliciosos entrem na rede de uma organização. Atores de ameaças que estão vendendo criam uma ponte entre campanhas oportunistas e invasores direcionados. Na maioria dos casos, estes são operadores de ransomware.
Em conclusão, a análise realizado pela Proofpoint, e o fato de que o malware ainda está em desenvolvimento, destaca a probabilidade de que o Bumblebee continue sendo usado por vários atores de ameaças em várias campanhas.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: