Les acteurs cybercriminels précédemment observés fournissant BazaLoader et IcedID dans le cadre de leurs campagnes de logiciels malveillants seraient passés à un nouveau chargeur appelé Bumblebee qui est en cours de développement actif.
« Sur la base du moment de son apparition dans le paysage des menaces et de son utilisation par plusieurs groupes cybercriminels, il est probable que Bumblebee soit, sinon un remplacement direct de BazaLoader, alors un nouvel outil multifonctionnel utilisé par des acteurs qui ont historiquement favorisé d’autres logiciels malveillants », a déclaré l’entreprise. société de sécurité Proofpoint mentionné dans un rapport partagé avec The Hacker News.
Les campagnes distribuant le nouveau chargeur hautement sophistiqué auraient commencé en mars 2022, tout en partageant des chevauchements avec des activités malveillantes conduisant au déploiement des rançongiciels Conti et Diavol, ce qui soulève la possibilité que le chargeur puisse agir comme un précurseur des attaques de rançongiciels.
« Les acteurs de la menace utilisant Bumblebee sont associés à des charges utiles de logiciels malveillants qui ont été liées à des campagnes de rançongiciels de suivi », ont déclaré les chercheurs.
En plus de proposer des vérifications anti-virtualisation, Bumblebee est écrit en C++ et est conçu pour agir comme un téléchargeur pour récupérer et exécuter les charges utiles de la prochaine étape, notamment Cobalt Strike, Sliver, Meterpreter et le shellcode.
Fait intéressant, la détection accrue du chargeur de logiciels malveillants dans le paysage des menaces correspond à une baisse des déploiements de BazaLoader depuis février 2022, un autre chargeur populaire utilisé pour diffuser des logiciels malveillants de cryptage de fichiers et développé par le gang TrickBot, aujourd’hui disparu, qui a depuis été absorbé dans Conti.
Les chaînes d’attaque distribuant Bumblebee ont pris la forme de leurres de phishing par e-mail de marque DocuSign incorporant des liens frauduleux ou des pièces jointes HTML, conduisant les victimes potentielles à un fichier ISO compressé hébergé sur Microsoft OneDrive.
De plus, l’URL intégrée dans la pièce jointe HTML utilise un système de direction du trafic (TDS) appelé Prometheus – qui est disponible à la vente sur les plates-formes souterraines pour 250 $ par mois – pour rediriger les URL vers les fichiers d’archives en fonction du fuseau horaire et biscuits des victimes.
Les fichiers ZIP, à leur tour, incluent les fichiers .LNK et .DAT, le fichier de raccourci Windows exécutant ce dernier contenant le téléchargeur Bumblebee, avant de l’utiliser pour livrer les logiciels malveillants BazaLoader et IcedID.
Une deuxième campagne en avril 2022 impliquait un schéma de détournement de threads dans lequel des e-mails légitimes sur le thème des factures étaient repris pour envoyer des fichiers ISO compressés, qui étaient ensuite utilisés pour exécuter un fichier DLL pour activer le chargeur.
On observe également l’abus du formulaire de contact présent sur le site Web de la cible pour envoyer un message revendiquant des violations du droit d’auteur des images, pointant la victime vers un lien Google Cloud Storage qui se traduit par le téléchargement d’un fichier ISO compressé, poursuivant ainsi la séquence d’infection susmentionnée. .
La transition de BazarLoader à Bumblebee est une preuve supplémentaire que ces acteurs de la menace – probablement des courtiers d’accès initiaux qui infiltrent des cibles puis vendent cet accès à d’autres – reçoivent le logiciel malveillant d’une source commune, tout en signalant également un départ après que la boîte à outils d’attaque du groupe Conti est devenue connaissance du public à peu près à la même époque.
Le développement coïncide également avec la reprise par Conti du tristement célèbre botnet TrickBot et sa fermeture pour se concentrer sur le développement des logiciels malveillants BazarLoader et Anchor. Il n’est pas immédiatement clair si Bumblebee est l’œuvre des acteurs de TrickBot et si les fuites ont incité le gang à abandonner BazaLoader au profit d’un tout nouveau malware.
Eli Salem, chercheur sur les logiciels malveillants Cybereason, dans un analyse indépendanteont identifié des points de similitudes entre Bumblebee et TrickBot, notamment le module web-inject de ce dernier et l’utilisation de la même technique d’évasion, suggérant que les acteurs derrière Bumblebee ont accès au code source de TrickBot.
« L’introduction du chargeur Bumblebee dans le paysage des menaces de logiciels criminels et son remplacement apparent de BazaLoader démontrent la flexibilité dont disposent les acteurs de la menace pour changer rapidement de TTP et adopter de nouveaux logiciels malveillants », a déclaré Sherrod DeGrippo, vice-président de la recherche et de la détection des menaces chez Proofpoint.
« De plus, le logiciel malveillant est assez sophistiqué et démontre qu’il est en cours de développement actif en introduisant de nouvelles méthodes pour échapper à la détection », a ajouté DeGrippo.