El cargador de malware Bumblebee resurge tras la 'Operación Endgame'

Iniciado por Dragora, Octubre 21, 2024, 07:32:04 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


El cargador de malware Bumblebee ha sido detectado en nuevos ataques, más de cuatro meses después de haber sido interrumpido por Europol durante la operación internacional llamada "Operación Endgame" en mayo. Este malware, que se cree que fue desarrollado por los creadores del famoso TrickBot, ha vuelto a estar activo, según informes recientes de investigadores de ciberseguridad.

¿Qué es Bumblebee y cuál es su origen?

Bumblebee surgió en 2022 como un reemplazo del malware BazarLoader, una herramienta utilizada por los actores de amenazas de ransomware para obtener acceso a las redes de las víctimas. BazarLoader había sido previamente utilizado para facilitar ataques de ransomware, y Bumblebee ha tomado su lugar como una puerta trasera para permitir que los ciberdelincuentes accedan y comprometan sistemas vulnerables.

A lo largo de su existencia, Bumblebee ha utilizado métodos de infección como el phishing, la publicidad maliciosa y el envenenamiento de SEO. Este último método es particularmente peligroso, ya que implica la manipulación de los resultados de búsqueda para que los usuarios descarguen inadvertidamente archivos maliciosos disfrazados de software legítimo. Entre los programas falsificados en campañas de Bumblebee se incluyen populares herramientas como Zooom, Cisco AnyConnect, ChatGPT y Citrix Workspace.

Cargas útiles desplegadas por Bumblebee

Entre las cargas útiles que Bumblebee distribuye una vez que infecta un sistema, se incluyen:

  • Balizas de Cobalt Strike, una herramienta utilizada por los atacantes para el reconocimiento y el movimiento lateral dentro de las redes comprometidas.
  • Malware para el robo de información, diseñado para extraer datos confidenciales de los sistemas infectados.
  • Varias cepas de ransomware, que cifran los archivos de las víctimas y exigen un rescate para restaurar el acceso a ellos.

Operación Endgame: Un golpe a las redes de malware

En mayo, una operación internacional de aplicación de la ley, denominada "Operación Endgame", llevó a la incautación de más de un centenar de servidores utilizados para respaldar la distribución de múltiples tipos de malware, incluyendo IcedID, Pikabot, TrickBot, Bumblebee, Smokeloader y SystemBC. Esta operación, coordinada por Europol, asestó un duro golpe a las operaciones de cibercrimen organizadas.

Tras esta acción, Bumblebee permaneció inactivo durante varios meses, lo que llevó a algunos investigadores a creer que sus operadores podrían haber abandonado el malware o cambiado sus tácticas. Sin embargo, los recientes informes de la empresa de ciberseguridad Netskope revelan que Bumblebee ha vuelto a aparecer en nuevos ataques, lo que sugiere un posible resurgimiento.

Nueva cadena de ataque de Bumblebee

La cadena de ataque más reciente observada por Netskope comienza con un clásico correo electrónico de phishing, diseñado para engañar a la víctima para que descargue un archivo ZIP malicioso. Dentro del archivo comprimido se encuentra un acceso directo de LNK denominado "Report-41952.lnk". Este archivo LNK desencadena un script de PowerShell que descarga un archivo MSI malicioso desde un servidor remoto.

El archivo MSI está disfrazado como una actualización legítima de un controlador, como el controlador de NVIDIA o el instalador de Midjourney. Una vez descargado, el archivo MSI se ejecuta de manera silenciosa utilizando el comando msiexec.exe con la opción /qn, lo que permite que el proceso se ejecute sin requerir interacción del usuario.

Para evitar la detección y minimizar la creación de nuevos procesos, Bumblebee utiliza la tabla SelfReg dentro de la estructura MSI, lo que permite que el malware cargue una DLL maliciosa directamente en el espacio de direcciones de msiexec.exe e invoque la función DllRegisterServer.

Técnicas de evasión y características de Bumblebee

Una vez que la DLL se carga y ejecuta, el malware comienza a desempaquetarse y a desplegar Bumblebee en la memoria del sistema infectado. Netskope ha identificado que la versión más reciente de Bumblebee utiliza una clave RC4 para descifrar su configuración interna. Esta clave se denomina "NEW_BLACK", y la campaña está identificada por los nombres de campaña "msi" y "lnk001".

Aunque Netskope no ha proporcionado detalles completos sobre las cargas útiles específicas que Bumblebee ha desplegado en esta última campaña, los investigadores advierten que esta actividad podría ser un indicador temprano de un resurgimiento del malware.

Indicadores de compromiso y precauciones

Los indicadores de compromiso (IoCs) para detectar infecciones de Bumblebee están disponibles en repositorios de GitHub, donde los investigadores de ciberseguridad pueden obtener más información sobre cómo identificar y mitigar este tipo de ataques. Dado el resurgimiento de Bumblebee, es crucial que las organizaciones revisen sus sistemas de seguridad y adopten medidas preventivas, como mejorar sus políticas de correo electrónico y educar a los empleados sobre los riesgos del phishing.

En fin el regreso de Bumblebee, después de haber sido interrumpido por la Operación Endgame, es un recordatorio de que los cibercriminales no descansan. Este malware continúa siendo una amenaza significativa, especialmente para las empresas y redes que no cuentan con medidas de seguridad robustas. Mantenerse informado y aplicar las mejores prácticas de ciberseguridad es esencial para mitigar los riesgos asociados a esta amenaza emergente.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta