Notícias

Novo malware Bumblebee usado em ataques cibernéticos

Jardeson Márcio
novo-malware-bumblebee-usado-em-ataques-ciberneticos

Um novo malware chamado Bumblebee é provavelmente o mais recente desenvolvimento do Conti para ataques cibernéticos. Aparentemente, ele foi projetado para substituir o backdoor BazarLoader usado para entregar cargas de ransomware.

O surgimento do Bumblebee em campanhas de phishing em março coincide com uma queda no uso do BazarLoader para entregar malware de criptografia de arquivos, dizem os pesquisadores. O BazarLoader é o trabalho dos desenvolvedores de botnet TrickBot, que forneceram acesso às redes das vítimas para ataques de ransomware. A gangue TrickBot agora está trabalhando para o Conti.

Bumblebee, um novo malware para ataques cibernéticos

Em um relatório em março (Via: BleepingComputer) sobre um agente de ameaças rastreado como “Exotic Lily” que forneceu acesso inicial para operações de ransomware Conti e Diavol, o Grupo de Análise de Ameaças do Google diz que o ator começou a soltar Bumblebee, em vez do malware BazarLoader normal, para entregar Cobalt Strike.

Eli Salem, principal caçador de ameaças e engenheiro reverso de malware da Cybereason, diz que as técnicas de implantação do Bumblebee são as mesmas do BazarLoader e do IcedID, ambos vistos no passado implantando o ransomware Conti. A Proofpoint confirma a descoberta de Salem, dizendo que eles observaram campanhas de phishing em que “o Bumblebee [foi] usado por vários atores de ameaças de crimeware observados anteriormente entregando BazaLoader e IcedID”.

A empresa também observa que “vários atores de ameaças que normalmente usam o BazaLoader em campanhas de malware fizeram a transição para o Bumblebee” para descartar o shellcode e as estruturas Cobalt Strike, Sliver e Meterpreter projetadas para avaliação de segurança da equipe vermelha. Ao mesmo tempo, o BazaLoader está ausente dos dados da Proofpoint desde fevereiro.

Em um relatório, a Proofpoint diz que observou várias campanhas de e-mail distribuindo o Bumblebee em anexos ISO que continham arquivos de atalho e DLL. Uma campanha aproveitou uma isca de documento DocuSign que levou a um arquivo ZIP com um contêiner ISO malicioso hospedado no serviço de armazenamento em nuvem OneDrive da Microsoft.

Os pesquisadores dizem que o e-mail malicioso também incluiu um anexo HTML que apareceu como um e-mail para uma fatura não paga, diz a Proofpoint. Os pesquisadores detectaram outra campanha em abril que sequestrou tópicos de e-mail para entregar o carregador de malware Bumblebee em respostas ao alvo com um anexo ISO arquivado.

Embora não tenha encontrado evidências inegáveis, a Proofpoint acredita que os agentes de ameaças que implantam o Bumblebee são agentes iniciais de acesso à rede que trabalham com agentes de ransomware.

Via: BleepingComputer

TAGGED:
Share This Article
Por Jardeson Márcio
Follow:
Jardeson é Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design gráfico. Economia, tecnologia e atualidade são focos de suas leituras diárias. Acredita que seu dia pode ser salvo por um vídeo engraçado.
Previous Article Empresa de RV usa grupo de pacientes artificiais para testar tratamento de dor crônica
Next Article Como novo programa de reparos da Apple, você mesmo pode consertar seu iPhone
Sair da versão mobile