Вредонос пропал с радаров 4 месяца назад, а теперь предстал перед исследователями в еще более изощренном виде.
Вредоносная программа Bumblebee вернулась после четырехмесячного перерыва и атаковала тысячи организаций в США с помощью масштабных фишинговых кампаний.
Bumblebee — это загрузчик, обнаруженный в апреле 2022 года. Предположительно, он был разработан преступными группировками Conti и Trickbot в качестве замены бэкдора BazarLoader.
Софт обычно распространяется в фишинговых письмах для установки дополнительных вредоносных программ на зараженные устройства. Это может быть Cobalt Strike, который используется для первоначального проникновения в сеть, или обычное вымогательское ПО.
В новой кампании Bumblebee скрывается в поддельных уведомлениях о голосовых сообщениях. Пользователям рассылаются письма якобы от info@quarlessa[.]com с темой «Голосовое сообщение. Февраль».
В тексте письма находится ссылка на OneDrive, при переходе по которой загружается документ Word с именем «ReleaseEvans#96.docm» или похожим названием. Документ содержит макросы для установки Bumblebee.
Использование макросов в документах необычно, учитывая, что Microsoft заблокировала их по умолчанию в 2022 году. Возможно, злоумышленники таким образом пытаются обойти защиту.
Раньше для доставки Bumblebee использовались такие методы, как прямая загрузка DLL, внедрение в HTML и эксплуатация уязвимостей. Это еще одно отличие текущей атаки от более современных способов.
В прошлом Bumblebee уже экспериментировал с документами, содержащими макросы, но такие случаи составляли лишь 4,3% от всех зарегистрированных кампаний.
Перед четырехмесячным перерывом, в сентябре 2023, исследователи отметили новый метод распространения Bumblebee. Тогда злоумышленники начали использовать уязвимости веб-сервиса WebDAV для обхода блокировки и доставки загрузчика на компьютеры жертв.
Хотя новую кампанию пока нельзя приписать каким-либо конкретным злоумышленникам, почерк очень напоминает деятельность группировки TA579.
Эксперты предупреждают, что возвращение Bumblebee может предвещать всплеск киберпреступности в 2024 году. Наряду с ним активизировались и другие вредоносы, например Pikabot .
Ваши гаджеты следят за вами. Мы знаем, как это остановить!
Присоединяйтесь
Кракен в даркнете — это платформа для анонимных покупок, предлагающая широкий спектр товаров и услуг. Пользователям важно быть осторожными, проверять информацию и защищать свою анонимность, чтобы избежать мошенничества и правовых последствий. Понимание принципов работы даркнета и использование надёжных источников для получения информации о площадках, таких как Кракен, помогут сделать процесс торговли более безопасным и эффективным.
Доступ к сайту осуществляется через Tor-браузер, который скрывает IP-адреса пользователей. Кракен предлагает удобный интерфейс, позволяющий легко находить и приобретать интересующие товары. Пользователи могут оставлять отзывы и оценки о продавцах, что способствует созданию более безопасной торговой среды.
