Bumblebee Malware
A Bumblebee egy lopakodó rosszindulatú programbetöltő (loader), amelyet a víruskeresők nehezen azonosítanak, mert gyakran a meghajtók megkerülésével is képes települni a memóriába, ami lehetővé teszi további rosszindulatú programok, például zsarolóvírus, vagy Cobalt Strike telepítését. A Bumblebee-t olyan adathalász e-mail kampányok terjesztik, amelyek a termékkövetelmény dokumentációnak (RDP – Product Requirement Document) vagy ajánlatkérésnek (Request for Proposal) álcázták magukat. A Zvelo által az elmúlt hetekben tapasztalt támadások jellemzői megegyeznek a Google TAG által megfigyelt taktikával, technikákkal és eljárásokkal (TTP).
A támadás során a fenyegetés szereplői egy kapcsolatfelvételi űrlapot küldenek be egy szállító, vagy egy vállalat weboldalán keresztül, hamis céget és személyazonosságot használva. A küldő gyors ellenőrzése azt mutatja, hogy valós cég, működő LinkedIn profillal, valós weboldallal, csak kicsit gyanús a levél tartalma és nyelvezete. A legtöbb vállalat valamilyen típusú automatikus válaszüzenetet küld, amelyet a támadó arra használt, hogy értesítést küldjön a WeTransfertől, miszerint a küldő cég képviselője megosztott egy RDP fájlt, amely tartalmazza a fájl letöltésére szolgáló hivatkozást és jelszót a dokumentum letöltéséhez.
Az ilyen típusú pszichológiai megtévesztéses (social engineering) támadásokkal szemben a legjobb védelem az, ha gyanakvóak maradunk, és rendkívüli óvatossággal járunk el, amikor valami szokatlan dolgot észlelünk. Például, ha egy bejövő üzenet megfogalmazása furcsának tűnik, vagy ha a kérés nem teljesen illeszkedik a szervezetére jellemzőhöz, azonnal gyanakodni kell. Az alkalmazottak rendszeres képzéssel és frissítésekkel történő oktatása kritikus fontosságú a szervezet kockázatának csökkentése szempontjából, mivel az alkalmazottak jelentik az első védelmi vonalat, és a legkönnyebben köthető célpont.