Programari maliciós Bumblebee
S'ha identificat un nou programari maliciós de carregador sofisticat com a part d'almenys tres operacions amenaçadores diferents. Anomenat programari maliciós Bumblebee, l'amenaça es desplega com a programari maliciós de la fase inicial encarregat de lliurar i executar les càrregues útils de la següent etapa. L'objectiu probable dels atacants és desplegar una càrrega útil de ransomware final al dispositiu trencat i l'extorsió de les víctimes afectades per diners.
Els detalls sobre l'amenaça es van revelar al públic en un informe de Proofpoint. Segons els investigadors, el programari maliciós Bumblebee pot haver omplert el buit deixat per una amenaça del carregador prèviament identificada coneguda com BazaLoader. Es creu que els grups que utilitzen programari maliciós Bumblebee actuen com a intermediaris d'accés inicial (IAB). Aquestes organitzacions de ciberdelinqüència se centren a infiltrar-se en objectius corporatius i després vendre l'accés de la porta posterior establerta a altres cibercriminals a la web fosca.
Capacitats d'amenaça
Bumblebee demostra una àmplia gamma de tècniques d'evasió elaborades, tot i que encara es considera que l'amenaça està en desenvolupament actiu. El programari maliciós realitza comprovacions d'entorns sandbox o signes de virtualització. També xifra la seva comunicació amb la infraestructura de comandament i control (C2, C&C) de les operacions d'atac. Bumblebee també escaneja els processos en execució al dispositiu trencat per trobar eines d'anàlisi de programari maliciós habituals extretes d'una llista codificada.
Una altra característica distintiva de l'amenaça és que no utilitza les mateixes tècniques de buit de procés o d'injecció de DLL que sovint s'observen en amenaces similars. En comptes d'això, Bumblebee utilitza una injecció APC (trucada de procediment asíncron), que li permet iniciar el codi shell a partir de les ordres entrants enviades pel seu servidor C2. Les primeres accions realitzades per l'amenaça un cop desplegada a les màquines de destinació inclouen la recopilació d'informació del sistema i la generació d'un "ID de client".
Després, Bumblebee intentarà establir contacte amb els servidors C2 accedint a l'adreça associada emmagatzemada en text pla. Les versions de l'amenaça analitzades pels investigadors podrien reconèixer diverses ordres, inclosa la injecció de codi shell, la injecció de DLL, l'inici d'un mecanisme de persistència, l'obtenció dels executables de la càrrega útil de la següent etapa i una opció de desinstal·lació.
