Le tristement célèbre chargeur de logiciels malveillants et courtier d’accès initial connu sous le nom de Bourdon a refait surface après quatre mois d’absence dans le cadre d’une nouvelle campagne de phishing observée en février 2024.
La société de sécurité d’entreprise Proofpoint a déclaré que cette activité cible les organisations aux États-Unis avec des leurres sur le thème de la messagerie vocale contenant des liens vers des URL OneDrive.
« Les URL menaient à un fichier Word portant des noms tels que « ReleaseEvans#96.docm » (les chiffres précédant l’extension du fichier variaient) », a expliqué la société. dit dans un rapport de mardi. « Le document Word a usurpé la société d’électronique grand public Humane. »
L’ouverture du document exploite les macros VBA pour lancer une commande PowerShell afin de télécharger et d’exécuter un autre script PowerShell à partir d’un serveur distant qui, à son tour, récupère et exécute le chargeur Bumblebee.
Bumblebee, repéré pour la première fois en mars 2022, est principalement conçu pour télécharger et exécuter des charges utiles ultérieures telles que des ransomwares. Il a été utilisé par plusieurs auteurs de menaces de logiciels criminels qui avaient déjà observé la livraison de BazaLoader (alias BazarLoader) et d’IcedID.
Il est également soupçonné d’avoir été développé par des acteurs malveillants, le syndicat de cybercriminalité Conti et TrickBot, en remplacement de BazarLoader. En septembre 2023, Intel 471 a divulgué une campagne de distribution Bumblebee qui utilisait des serveurs Web Distributed Authoring and Versioning (WebDAV) pour diffuser le chargeur.
La chaîne d’attaque se distingue par sa dépendance à l’égard de documents prenant en charge les macros, d’autant plus que Microsoft a commencé à bloquer par défaut les macros dans les fichiers Office téléchargés sur Internet à partir de juillet 2022, ce qui a incité les acteurs malveillants à modifier et à diversifier leurs approches.
Le retour de Bumblebee coïncide également avec la réapparition de nouvelles variantes de QakBot, ZLoader et PikaBot, avec des échantillons de QakBot distribués sous forme de fichiers Microsoft Software Installer (MSI).
« Le .MSI dépose une archive Windows .cab (Cabinet), qui à son tour contient une DLL », explique la société de cybersécurité Sophos. dit sur Mastodonte. « Le .MSI extrait la DLL du .cab et l’exécute à l’aide d’un shellcode. Le shellcode amène la DLL à générer une deuxième copie d’elle-même et à injecter le code du robot dans l’espace mémoire de la deuxième instance. »
Il a été constaté que les derniers artefacts de QakBot renforcent le cryptage utilisé pour dissimuler des chaînes et d’autres informations, notamment en utilisant un logiciel malveillant de cryptage appelé DaveCrypter, ce qui rend son analyse plus difficile. La nouvelle génération rétablit également la possibilité de détecter si le malware s’exécutait dans une machine virtuelle ou un bac à sable.
Une autre modification cruciale consiste à chiffrer toutes les communications entre le malware et le serveur de commande et de contrôle (C2) à l’aide d’AES-256, une méthode plus puissante que celle utilisée dans les versions antérieures au démantèlement de l’infrastructure de QakBot fin août 2023.
« Le démantèlement de l’infrastructure du botnet QakBot a été une victoire, mais les créateurs du bot restent libres, et quelqu’un ayant accès au code source original de QakBot a expérimenté de nouvelles versions et testé le terrain avec ces dernières variantes », a déclaré Andrew Brandt, chercheur principal. chez Sophos X-Ops, a déclaré.
« L’un des changements les plus notables concerne une modification de l’algorithme de chiffrement que le bot utilise pour dissimuler les configurations par défaut codées en dur dans le bot, ce qui rend plus difficile pour les analystes de voir comment le malware fonctionne ; les attaquants restaurent également des fonctionnalités précédemment obsolètes, telles que connaissance des machines virtuelles (VM) et les tester dans ces nouvelles versions.
QakBot est également apparu comme le deuxième malware le plus répandu pour janvier 2024, derrière FakeUpdates (alias SocGholish) mais devant d’autres familles comme Formbook, Nanocore, AsyncRAT, Remcos RAT et Agent Tesla.
Le développement arrive sous le nom de Malwarebytes révélé une nouvelle campagne dans laquelle des sites de phishing imitant des institutions financières comme Barclays incitent des cibles potentielles à télécharger un logiciel de bureau à distance légitime comme AnyDesk pour prétendument résoudre des problèmes inexistants et finalement permettre aux acteurs malveillants de prendre le contrôle de la machine.