Se dice que los actores ciberdelincuentes observados anteriormente entregando BazaLoader e IcedID como parte de sus campañas de malware han hecho la transición a un nuevo cargador llamado Bumblebee que está en desarrollo activo y se esta haciendo popular entre los ciberdelincuentes.
Según los investigadores de la firma de seguridad Proofpoint, las campañas de distribución basadas en correo electrónico de Bumblebee comenzaron en marzo y se vincularon con al menos tres grupos de ataque conocidos. El malware se usa para implementar implantes de prueba de penetración conocidos como Cobalt Strike, Sliver y Meterpreter. Los atacantes han adoptado estos marcos de ataque y otras herramientas de doble uso de código abierto en los últimos años para participar en la piratería manual práctica y el movimiento lateral a través de las redes de las víctimas.
Parece que las campañas que distribuyen este nuevo cargador altamente sofisticado comenzaron en marzo de 2022, mientras se superponen con actividades maliciosas que conducen al despliegue de ransomware Conti y Diavol, lo que aumenta la posibilidad de que el cargador actúe como precursor de ataques de ransomware.
Cabe destacar que esta amenaza presenta controles antivirtualizaciónademas de estár escrito en C++ y ser diseñado para actuar como un descargador para recuperar y ejecutar cargas útiles de la próxima etapa, incluidos Cobalt Strike, Sliver, Meterpreter y Shellcode.
Los ataques observados por los expertos de Proofpoint emplearon mensajes de la marca DocuSign y tenían como objetivo engañar a los destinatarios para que descargaran un archivo ISO malicioso alojado en OneDrive.
En una de las rutas observadas por los expertos, los actores de amenazas envían mensajes que contienen un hipervínculo llamado "REVISAR EL DOCUMENTO", mientras que otro aprovecha un archivo adjunto HTML que contiene una URL que utiliza un sistema de dirección de tráfico (TDS) denominado Prometheus para filtrar las descargas en función de la zona horaria y las cookies de la potencial víctima.
Este tipo de amenazas no son nuevas y lo mejor que podemos hacer para protegernos es siempre tener la cabeza fría y calmada para no caer frente a estos intentos de engaños.