Se dice que los actores ciberdelincuentes observados anteriormente entregando BazaLoader e IcedID como parte de sus campa\u00f1as de malware han hecho la transici\u00f3n a un nuevo cargador llamado Bumblebee que est\u00e1 en desarrollo activo.<\/p>\n
“Seg\u00fan el momento de su aparici\u00f3n en el panorama de amenazas y el uso por parte de m\u00faltiples grupos de ciberdelincuentes, es probable que Bumblebee sea, si no un reemplazo directo de BazaLoader, una nueva herramienta multifuncional utilizada por actores que hist\u00f3ricamente favorecieron a otro malware”, empresa. empresa de seguridad Proofpoint dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n Se dice que las campa\u00f1as que distribuyen el nuevo cargador altamente sofisticado comenzaron en marzo de 2022, mientras se superponen con actividades maliciosas que conducen al despliegue de ransomware Conti y Diavol, lo que aumenta la posibilidad de que el cargador act\u00fae como precursor de ataques de ransomware.<\/p>\n “Los actores de amenazas que usan Bumblebee est\u00e1n asociados con cargas \u00fatiles de malware que se han vinculado a campa\u00f1as de ransomware de seguimiento”, dijeron los investigadores.<\/p>\n Adem\u00e1s de presentar controles antivirtualizaci\u00f3n, Bumblebee est\u00e1 escrito en C++ y est\u00e1 dise\u00f1ado para actuar como un descargador para recuperar y ejecutar cargas \u00fatiles de la pr\u00f3xima etapa, incluidos Cobalt Strike, Sliver, Meterpreter y Shellcode.<\/p>\n Curiosamente, la mayor detecci\u00f3n del cargador de malware en el panorama de amenazas corresponde a una ca\u00edda en las implementaciones de BazaLoader desde febrero de 2022, otro cargador popular utilizado para entregar malware de cifrado de archivos y desarrollado por la pandilla ahora desaparecida TrickBot, que desde entonces ha sido absorbida por Conti. <\/p>\n Las cadenas de ataque que distribuyen Bumblebee han tomado la forma de se\u00f1uelos de phishing de correo electr\u00f3nico con la marca DocuSign que incorporan enlaces fraudulentos o archivos adjuntos HTML, lo que lleva a las v\u00edctimas potenciales a un archivo ISO comprimido alojado en Microsoft OneDrive.<\/p>\n Adem\u00e1s, la URL incrustada en el archivo adjunto HTML utiliza un sistema de direcci\u00f3n de tr\u00e1fico (TDS) denominado Prometheus, que est\u00e1 disponible para la venta en plataformas clandestinas por $250 al mes, para redirigir las URL a los archivos de almacenamiento en funci\u00f3n de la zona horaria y galletas de las v\u00edctimas.<\/p>\n Los archivos ZIP, a su vez, incluyen archivos .LNK y .DAT, y el archivo de acceso directo de Windows ejecuta este \u00faltimo que contiene el descargador de Bumblebee, antes de usarlo para entregar el malware BazaLoader e IcedID.<\/p>\n Una segunda campa\u00f1a en abril de 2022 involucr\u00f3 un esquema de secuestro de hilos en el que se tomaron correos electr\u00f3nicos leg\u00edtimos con temas de facturas para enviar archivos ISO comprimidos, que luego se usaron para ejecutar un archivo DLL para activar el cargador.<\/p>\n Tambi\u00e9n se observa el abuso del formulario de contacto presente en el sitio web del objetivo para enviar un mensaje reclamando violaciones de derechos de autor de las im\u00e1genes, dirigiendo a la v\u00edctima a un enlace de Google Cloud Storage que resulta en la descarga de un archivo ISO comprimido, continuando as\u00ed la secuencia de infecci\u00f3n antes mencionada. .<\/p>\n La transici\u00f3n de BazarLoader a Bumblebee es una prueba m\u00e1s de que estos actores de amenazas, probablemente corredores de acceso inicial que se infiltran en los objetivos y luego venden ese acceso a otros, est\u00e1n recibiendo el malware de una fuente com\u00fan, al tiempo que se\u00f1alan una partida despu\u00e9s de que el conjunto de herramientas de ataque del grupo Conti se convirti\u00f3 en conocimiento p\u00fablico al mismo tiempo.<\/p>\n El desarrollo tambi\u00e9n coincide con el hecho de que Conti se hizo cargo de la infame red de bots TrickBot y la cerr\u00f3 para centrarse en el desarrollo del malware BazarLoader y Anchor. No est\u00e1 claro de inmediato si Bumblebee es obra de los actores de TrickBot y si las filtraciones llevaron a la pandilla a abandonar BazaLoader en favor de un malware completamente nuevo.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Error-de-pirateria-de-correo-electronico-sin-parches-de-9.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1651149846_690_Los-ciberdelincuentes-usan-el-nuevo-cargador-de-malware-Bumblebee-en.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n