Bumblebee terjesztése
A rosszindulatú Google Ads vagy SEO-mérgezés használata rosszindulatú programok terjesztésére a kiberbűnözők általános taktikájává vált. A közelmúltban a CTU kutatói megfigyelték a Bumblebee kártékony kódjait, amelyeket olyan népszerű szoftverekhez társítottak, mint a Zoom, a Cisco AnyConnect, a ChatGPT és a Citrix Workspace. A Bumblebee egy moduláris betöltő, amelyet korábban elsősorban adathalászat útján terjesztettek, és amelyet általában a zsarolóvírus-telepítésekkel kapcsolatos hasznos terhek szállítására használtak. A különösen aktuális szoftverek (pl. ChatGPT) vagy a távoli dolgozók által gyakran használt szoftverek trójai telepítőinek telepítése növeli az új fertőzések valószínűségét.
A CTU kutatói által elemzett Bumblebee minták egyikét a http://appcisco webhelyről töltötték le (com/vpncleint/cisco-anyconnect-4_9_0195.msi). 2023. február 16-án egy fenyegetéssel foglalkozó szereplő hamis letöltési oldalt hozott létre a Cisco AnyConnect Secure Mobility Client v4.x verziójához az appcisco-n. com domain. Egy rosszindulatú Google-hirdetéssel kezdődő fertőzési lánc egy feltört WordPress-webhelyen keresztül küldte a felhasználót erre a hamis letöltési oldalra, ahonnan elindult a fertőzési lánc. A CTU kutatói számos mutatót azonosítottak ezzel a fenyegetéssel. A Bumblebee malware konfigurációs adataiból kinyert C2 IP-címek nagy száma miatt a táblázat csak egy részhalmazt sorol fel.