Visszatért a Bumblebee?
A Bumblebee malware betöltőprogramot a közelmúltban újabb támadásokban észlelték, több mint négy hónappal azután, hogy az Europol májusban megzavarta az „Operation Endgame” során, amelynek keretében több mint száz szervert foglaltak le. A feltételezések szerint a TrickBot fejlesztőinek alkotása 2022-ben jelent meg a BazarLoader backdoor helyettesítésére, hogy a ransomware szereplők számára hozzáférést biztosítson a hálózatokhoz. A Bumblebee jellemzően adathalászattal, malvertisinggal és SEO-poisoning-gal éri el a fertőzést, amely különböző szoftvereket (pl. Zooom, Cisco AnyConnect, ChatGPT és Citrix Workspace) népszerűsített. A Bumblebee által tipikusan szállított hasznos terhek közé tartoznak a Cobalt Strike beacon-ok, infostealer kártevők és különböző ransomware törzsek.
A Netskope kiberbiztonsági vállalat kutatói a malware-hez kapcsolódó új Bumblebee-aktivitást figyeltek meg, ami újbóli felbukkanásra utalhat. A legújabb Bumblebee-támadási lánc egy adathalász e-maillel kezdődik, amely egy rosszindulatú ZIP-archívum letöltésére csábítja az áldozatot. A tömörített fájl tartalmaz egy .LNK parancsikont Report-41952.lnk néven, amely elindítja a PowerShell-t, hogy egy távoli szerverről letöltsön egy rosszindulatú .MSI fájlt (y.msi), amelyet legitim NVIDIA illesztőprogram-frissítésnek vagy Midjourney telepítőnek álcáznak. Az MSI-fájlt ezután az msiexec.exe programmal, a /qn kapcsolóval csendben futtatják, ami biztosítja, hogy a folyamat a felhasználó beavatkozása nélkül fut. Az új folyamatok létrehozásának elkerülése érdekében, a kártevő az MSI struktúrán belül a SelfReg táblázatot használja, amely utasítja az msiexec.exe-t, hogy töltse be a DLL-t a saját címtartományába, és hívja meg a DllRegisterServer funkciót. A DLL betöltése és végrehajtása után megkezdődik a kártevő kicsomagolási folyamata, ami a Bumblebee telepítéséhez vezet a memóriában.
