Malware Bumblebee

Un nuovo sofisticato malware di caricamento è stato identificato come parte di almeno tre operazioni di minaccia separate. Denominato malware Bumblebee, la minaccia viene implementata come malware nella fase iniziale con il compito di consegnare ed eseguire i payload della fase successiva. Il probabile obiettivo degli aggressori è distribuire un payload di ransomware finale sul dispositivo violato e l'estorsione per denaro delle vittime colpite.

I dettagli sulla minaccia sono stati rivelati al pubblico in un rapporto di Proofpoint. Secondo i ricercatori, il malware Bumblebee potrebbe aver riempito il vuoto lasciato da una minaccia del caricatore precedentemente identificata nota come BazaLoader. Si ritiene che i gruppi che utilizzano il malware Bumblebee agiscano come intermediari di accesso iniziale (IAB). Tali organizzazioni di criminalità informatica si concentrano sull'infiltrazione di obiettivi aziendali e quindi sulla vendita dell'accesso backdoor stabilito ad altri criminali informatici sul Dark Web.

Capacità minacciose

Bumblebee dimostra una vasta gamma di elaborate tecniche di evasione, anche se la minaccia è ancora considerata in fase di sviluppo attivo. Il malware esegue controlli per ambienti sandbox o segni di virtualizzazione. Crittografa inoltre la sua comunicazione con l'infrastruttura Command-and-Control (C2, C&C) delle operazioni di attacco. Bumblebee esegue anche la scansione dei processi in esecuzione sul dispositivo violato alla ricerca di strumenti comuni di analisi del malware presi da un elenco hardcoded.

Un'altra caratteristica distintiva della minaccia è che non utilizza le stesse tecniche di svuotamento del processo o di iniezione di DLL spesso osservate in minacce simili. Invece, Bumblebee utilizza un'iniezione APC (chiamata di procedura asincrona), che gli consente di avviare lo shellcode dai comandi in arrivo inviati dal suo server C2. Le prime azioni intraprese dalla minaccia una volta implementata sui computer presi di mira includono la raccolta di informazioni di sistema e la generazione di un "ID cliente".

Successivamente, Bumblebee tenterà di stabilire un contatto con i server C2 accedendo all'indirizzo associato memorizzato in chiaro. Le versioni della minaccia analizzate dai ricercatori potrebbero riconoscere diversi comandi, tra cui l'iniezione di shellcode, l'iniezione di DLL, l'avvio di un meccanismo di persistenza, il recupero degli eseguibili del payload della fase successiva e un'opzione di disinstallazione.