Les acteurs cybercriminels pr\u00e9c\u00e9demment observ\u00e9s fournissant BazaLoader et IcedID dans le cadre de leurs campagnes de logiciels malveillants seraient pass\u00e9s \u00e0 un nouveau chargeur appel\u00e9 Bumblebee qui est en cours de d\u00e9veloppement actif.<\/p>\n
“Sur la base du moment de son apparition dans le paysage des menaces et de son utilisation par plusieurs groupes cybercriminels, il est probable que Bumblebee soit, sinon un remplacement direct de BazaLoader, alors un nouvel outil multifonctionnel utilis\u00e9 par des acteurs qui ont historiquement favoris\u00e9 d’autres logiciels malveillants”, a d\u00e9clar\u00e9 l’entreprise. soci\u00e9t\u00e9 de s\u00e9curit\u00e9 Proofpoint mentionn\u00e9<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n Les campagnes distribuant le nouveau chargeur hautement sophistiqu\u00e9 auraient commenc\u00e9 en mars 2022, tout en partageant des chevauchements avec des activit\u00e9s malveillantes conduisant au d\u00e9ploiement des ran\u00e7ongiciels Conti et Diavol, ce qui soul\u00e8ve la possibilit\u00e9 que le chargeur puisse agir comme un pr\u00e9curseur des attaques de ran\u00e7ongiciels.<\/p>\n “Les acteurs de la menace utilisant Bumblebee sont associ\u00e9s \u00e0 des charges utiles de logiciels malveillants qui ont \u00e9t\u00e9 li\u00e9es \u00e0 des campagnes de ran\u00e7ongiciels de suivi”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n En plus de proposer des v\u00e9rifications anti-virtualisation, Bumblebee est \u00e9crit en C++ et est con\u00e7u pour agir comme un t\u00e9l\u00e9chargeur pour r\u00e9cup\u00e9rer et ex\u00e9cuter les charges utiles de la prochaine \u00e9tape, notamment Cobalt Strike, Sliver, Meterpreter et le shellcode.<\/p>\n Fait int\u00e9ressant, la d\u00e9tection accrue du chargeur de logiciels malveillants dans le paysage des menaces correspond \u00e0 une baisse des d\u00e9ploiements de BazaLoader depuis f\u00e9vrier 2022, un autre chargeur populaire utilis\u00e9 pour diffuser des logiciels malveillants de cryptage de fichiers et d\u00e9velopp\u00e9 par le gang TrickBot, aujourd’hui disparu, qui a depuis \u00e9t\u00e9 absorb\u00e9 dans Conti. <\/p>\n Les cha\u00eenes d’attaque distribuant Bumblebee ont pris la forme de leurres de phishing par e-mail de marque DocuSign incorporant des liens frauduleux ou des pi\u00e8ces jointes HTML, conduisant les victimes potentielles \u00e0 un fichier ISO compress\u00e9 h\u00e9berg\u00e9 sur Microsoft OneDrive.<\/p>\n De plus, l’URL int\u00e9gr\u00e9e dans la pi\u00e8ce jointe HTML utilise un syst\u00e8me de direction du trafic (TDS) appel\u00e9 Prometheus – qui est disponible \u00e0 la vente sur les plates-formes souterraines pour 250 $ par mois – pour rediriger les URL vers les fichiers d’archives en fonction du fuseau horaire et biscuits des victimes.<\/p>\n Les fichiers ZIP, \u00e0 leur tour, incluent les fichiers .LNK et .DAT, le fichier de raccourci Windows ex\u00e9cutant ce dernier contenant le t\u00e9l\u00e9chargeur Bumblebee, avant de l’utiliser pour livrer les logiciels malveillants BazaLoader et IcedID.<\/p>\n Une deuxi\u00e8me campagne en avril 2022 impliquait un sch\u00e9ma de d\u00e9tournement de threads dans lequel des e-mails l\u00e9gitimes sur le th\u00e8me des factures \u00e9taient repris pour envoyer des fichiers ISO compress\u00e9s, qui \u00e9taient ensuite utilis\u00e9s pour ex\u00e9cuter un fichier DLL pour activer le chargeur.<\/p>\n On observe \u00e9galement l’abus du formulaire de contact pr\u00e9sent sur le site Web de la cible pour envoyer un message revendiquant des violations du droit d’auteur des images, pointant la victime vers un lien Google Cloud Storage qui se traduit par le t\u00e9l\u00e9chargement d’un fichier ISO compress\u00e9, poursuivant ainsi la s\u00e9quence d’infection susmentionn\u00e9e. .<\/p>\n La transition de BazarLoader \u00e0 Bumblebee est une preuve suppl\u00e9mentaire que ces acteurs de la menace – probablement des courtiers d’acc\u00e8s initiaux qui infiltrent des cibles puis vendent cet acc\u00e8s \u00e0 d’autres – re\u00e7oivent le logiciel malveillant d’une source commune, tout en signalant \u00e9galement un d\u00e9part apr\u00e8s que la bo\u00eete \u00e0 outils d’attaque du groupe Conti est devenue connaissance du public \u00e0 peu pr\u00e8s \u00e0 la m\u00eame \u00e9poque.<\/p>\n Le d\u00e9veloppement co\u00efncide \u00e9galement avec la reprise par Conti du tristement c\u00e9l\u00e8bre botnet TrickBot et sa fermeture pour se concentrer sur le d\u00e9veloppement des logiciels malveillants BazarLoader et Anchor. Il n’est pas imm\u00e9diatement clair si Bumblebee est l’\u0153uvre des acteurs de TrickBot et si les fuites ont incit\u00e9 le gang \u00e0 abandonner BazaLoader au profit d’un tout nouveau malware.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646124018_583_Le-logiciel-malveillant-Daxin-lie-a-la-Chine-a-cible.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1651155970_85_Les-cybercriminels-utilisent-le-nouveau-chargeur-de-logiciels-malveillants-Bumblebee.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n