Το Bumblebee malware, που εντοπίστηκε για πρώτη φορά πέρυσι και στοχεύει εταιρικούς χρήστες, διανέμεται τώρα μέσω SEO poisoning και Google Ads, που προωθούν δημοφιλή λογισμικά όπως το Zoom, το Cisco AnyConnect, το ChatGPT και το Citrix Workspace.
Το Bumblebee είναι ένα malware loader που ανακαλύφθηκε τον Απρίλιο του 2022 και πιστεύεται ότι αναπτύχθηκε από την ομάδα Conti ως αντικατάσταση του BazarLoader backdoor. Λέγεται ότι χρησιμοποιείται για την απόκτηση αρχικής πρόσβασης σε δίκτυα και τη διεξαγωγή επιθέσεων ransomware.
Δείτε επίσης: Η επίθεση ransomware στην NCR διέκοψε την λειτουργία πολλών συστημάτων POS
Τον Σεπτέμβριο του 2022, παρατηρήθηκε μια νέα έκδοση του malware loader, που χρησιμοποιούσε το PowerSploit framework για reflective DLL injection στη μνήμη.
Ερευνητές της Secureworks ανακάλυψαν πρόσφατα μια νέα καμπάνια που χρησιμοποιεί διαφημίσεις της Google που προωθούν μολυσμένες εκδόσεις δημοφιλών εφαρμογών για να παραδώσουν το malware loader στα θύματα.
Το Bumblebee malware κρύβεται σε δημοφιλείς εφαρμογές
Σύμφωνα με την εξέταση μιας επίθεσης από τη SecureWorks, μια διαφήμιση Google προώθησε μια ψεύτικη σελίδα λήψης για το Cisco AnyConnect Secure Mobility Client. Δημιουργήθηκε στις 16 Φεβρουαρίου 2023 και φιλοξενήθηκε σε ένα “appcisco[.]com” domain.
“Μια αλυσίδα μόλυνσης που ξεκίνησε με κακόβουλα Google Ads έστειλε τον χρήστη σε αυτήν την ψεύτικη σελίδα λήψης μέσω ενός παραβιασμένου ιστότοπου WordPress“, εξηγεί η SecureWorks.
Αυτή η ψεύτικη σελίδα προορισμού προώθησε ένα trojanized MSI installer με το όνομα “cisco-anyconnect-4_9_0195.msi” που εγκαθιστά το κακόβουλο λογισμικό BumbleBee.
Κατά την εκτέλεση, ένα αντίγραφο του νόμιμου program installer και ένα PowerShell script με παραπλανητικό όνομα (cisco2.ps1) αντιγράφεται στον υπολογιστή του χρήστη. Το CiscoSetup.exe είναι το νόμιμο πρόγραμμα εγκατάστασης για το AnyConnect, το οποίο εγκαθιστά την εφαρμογή στη συσκευή, για αποφυγή υποψιών. Ωστόσο, το PowerShell script εγκαθιστά το BumbleBee malware και πραγματοποιεί κακόβουλη δραστηριότητα στη συσκευή.
Δείτε επίσης: Οι ειδικοί προειδοποιούν: Δεν ξέρουμε αν μπορούμε να προστατευτούμε από το PIPEDREAM malware
“Το PowerShell script περιέχει μια επιλογή μετονομασμένων functions που αντιγράφηκαν από το PowerSploit ReflectivePEInjection.ps1 script“, εξηγεί η Secureworks.
“Περιέχει επίσης ένα κωδικοποιημένο Bumblebee malware payload που φορτώνεται στη μνήμη“. Αυτό σημαίνει ότι το Bumblebee εξακολουθεί να χρησιμοποιεί το ίδιο post-exploitation framework module για να φορτώσει το κακόβουλο λογισμικό στη μνήμη χωρίς να θεωρηθεί κακόβουλο από τα υπάρχοντα προϊόντα προστασίας από ιούς.
Η Secureworks εντόπισε άλλα πακέτα λογισμικού με παρόμοια ονόματα από file pairs, όπως ZoomInstaller.exe και zoom.ps1, ChatGPT.msi και chch.ps1 και CitrixWorkspaceApp.exe και citrix.ps1.
Το Bumblebee malware μπορεί να οδηγεί σε ransomware επίθεση
Λαμβάνοντας υπόψη ότι το trojanized λογισμικό στοχεύει εταιρικούς χρήστες, οι μολυσμένες συσκευές θα μπορούσαν να χρησιμοποιηθούν για μια ransomware επίθεση.
Η Secureworks εξέτασε προσεκτικά μία από τις πρόσφατες επιθέσεις που σχετίζονται με το Bumblebee. Οι ερευνητές διαπίστωσαν ότι οι επιτιθέμενοι χρησιμοποίησαν την πρόσβασή τους στο παραβιασμένο σύστημα για να μετακινηθούν laterally στο δίκτυο περίπου τρεις ώρες μετά την αρχική μόλυνση.
Δείτε επίσης: Lazarus hackers: Σύνδεση με επίθεση σε 3CX και στόχευση χρηστών Linux με fake προσφορές εργασίας
Τα εργαλεία που ανέπτυξαν οι επιτιθέμενοι στο παραβιασμένο περιβάλλον περιλαμβάνουν το Cobalt Strike pen-test suite, τα εργαλεία απομακρυσμένης πρόσβασης AnyDesk και DameWare, βοηθητικά προγράμματα σάρωσης δικτύου, ένα AD database dumper και ένα πρόγραμμα κλοπής credentials Kerberos.
Η χρήση αυτών των εργαλείων δείχνει ότι οι επιτιθέμενοι ενδιαφέρονται πιθανότατα για τον εντοπισμό προσβάσιμων σημείων δικτύου, την κλοπή δεδομένων και τελικά την ανάπτυξη ransomware. Όπως είναι γνωστό, το ransomware είναι μια σημαντική απειλή τόσο για άτομα όσο και για επιχειρήσεις. Για να προστατευτείτε, είναι απαραίτητο να εφαρμόζετε βασικές πρακτικές ασφάλειας στον κυβερνοχώρο. Καθώς η τεχνολογία συνεχίζει να εξελίσσεται, είναι σημαντικό να παραμείνετε ενημερωμένοι και σε εγρήγορση για να παραμείνετε ασφαλείς από κακόβουλες επιθέσεις.
Πηγή: www.bleepingcomputer.com