Bumblebee Malware

Um novo malware loader muito sofisticado foi identificado como parte de pelo menos três operações ameaçadoras separadas. Chamado de malware Bumblebee, a ameaça é implantada como um malware de estágio inicial, encarregado da entrega e execução de cargas úteis de próximo estágio. O provável objetivo dos invasores é implantar uma carga útil final de ransomware no dispositivo violado e extorquir dinheiro das vítimas afetadas.

Detalhes sobre a ameaça foram revelados ao público em um relatório da Proofpoint. De acordo com os pesquisadores, o malware Bumblebee pode ter preenchido o vazio deixado por uma ameaça loader previamente identificada, conhecida como BazaLoader. Acredita-se que os grupos que utilizam o malware Bumblebee estejam agindo como corretores de acesso inicial (IABs). Essas organizações de crimes cibernéticos estão focadas em se infiltrar em alvos corporativos e depois vender o acesso backdoor estabelecido a outros cibercriminosos na Dark Web.

Capacidades Ameaçadoras

Bumblebee demonstra uma ampla gama de técnicas de evasão elaboradas, embora a ameaça ainda seja considerada em desenvolvimento ativo. O malware realiza verificações de ambientes de sandbox ou sinais de virtualização. Ele também criptografa sua comunicação com a infraestrutura de Comando e Controle (C2, C&C) das operações de ataque. O Bumblebee também verifica os processos em execução no dispositivo violado em busca de ferramentas comuns de análise de malware retiradas de uma lista codificada.

Outra característica distintiva da ameaça é que ela não usa as mesmas técnicas de esvaziamento de processo ou injeção de DLL frequentemente observadas em ameaças semelhantes. Em vez disso, o Bumblebee utiliza uma injeção APC (chamada de procedimento assíncrona), que permite iniciar o shellcode dos comandos recebidos enviados por seu servidor C2. As primeiras ações tomadas pela ameaça uma vez implantada nas máquinas visadas incluem a coleta de informações do sistema e a geração de um 'Client ID'.

Depois, o Bumblebee tentará estabelecer contato com os servidores C2 acessando o endereço associado armazenado em texto simples. As versões da ameaça analisadas pelos pesquisadores podem reconhecer vários comandos, incluindo injeção de shellcode, injeção de DLL, iniciação de um mecanismo de persistência, busca dos executáveis do payload do próximo estágio e uma opção de desinstalação.