El infame cargador de malware y corredor de acceso inicial conocido como Bumblebee ha resurgido después de una ausencia de cuatro meses como parte de una nueva campaña de phishing observada en febrero de 2024.
La firma de seguridad empresarial Proofpoint dijo que la actividad se dirige a organizaciones en los EE. UU. con señuelos con temas de correo de voz que contienen enlaces a URL de OneDrive.
«Las URL conducían a un archivo de Word con nombres como «ReleaseEvans#96.docm» (los dígitos antes de la extensión del archivo variaban)», dijo la compañía en un informe del martes. «El documento de Word falsificó a la empresa de electrónica de consumo Humane».
Al abrir el documento se aprovechan las macros de VBA para iniciar un comando de PowerShell para descargar y ejecutar otro script de PowerShell desde un servidor remoto que, a su vez, recupera y ejecuta el cargador de Bumblebee.
Bumblebee, detectado por primera vez en marzo de 2022, está diseñado principalmente para descargar y ejecutar cargas útiles posteriores, como ransomware. Ha sido utilizado por múltiples actores de amenazas de crimeware que previamente observaron la entrega de BazaLoader (también conocido como BazarLoader) y IcedID.
También se sospecha que fue desarrollado por actores de amenazas, el sindicato de delitos cibernéticos Conti y TrickBot, como reemplazo de BazarLoader. En septiembre de 2023, Intel 471 reveló una campaña de distribución de Bumblebee que empleaba servidores Web Distributed Authoring and Versioning (WebDAV) para difundir el cargador.
La cadena de ataque se destaca por su dependencia de documentos habilitados para macros en la cadena de ataque, especialmente considerando que Microsoft comenzó a bloquear macros en archivos de Office descargados de Internet de forma predeterminada a partir de julio de 2022, lo que llevó a los actores de amenazas a modificar y diversificar sus enfoques .
El regreso de Bumblebee también coincide con la reaparición de nuevas variantes de QakBot , ZLoader y PikaBot , con muestras de QakBot distribuidas en forma de archivos Microsoft Software Installer (MSI).
«El .MSI coloca un archivo .cab (Cabinet) de Windows, que a su vez contiene una DLL», dijo la firma de ciberseguridad Sophos en Mastodon. «El .MSI extrae la DLL del .cab y la ejecuta usando el código shell. El código shell hace que la DLL genere una segunda copia de sí misma e inyecte el código del bot en el espacio de memoria de la segunda instancia».
Se ha descubierto que los últimos artefactos de QakBot refuerzan el cifrado utilizado para ocultar cadenas y otra información, incluido el empleo de un malware de cifrado llamado DaveCrypter, lo que hace que su análisis sea más difícil. La nueva generación también restablece la capacidad de detectar si el malware se estaba ejecutando dentro de una máquina virtual o sandbox.
Otra modificación crucial incluye cifrar todas las comunicaciones entre el malware y el servidor de comando y control (C2) utilizando AES-256, un método más potente que el utilizado en versiones anteriores al desmantelamiento de la infraestructura de QakBot a finales de agosto de 2023.
«La eliminación de la infraestructura de la botnet QakBot fue una victoria, pero los creadores del bot siguen libres, y alguien que tiene acceso al código fuente original de QakBot ha estado experimentando con nuevas versiones y probando el terreno con estas últimas variantes», dijo Andrew Brandt, investigador principal. en Sophos X-Ops, dijo.
«Uno de los cambios más notables implica un cambio en el algoritmo de cifrado que utiliza el bot para ocultar las configuraciones predeterminadas codificadas en el bot, lo que hace más difícil para los analistas ver cómo opera el malware; los atacantes también están restaurando características previamente obsoletas, como conocimiento de las máquinas virtuales (VM) y probarlas en estas nuevas versiones».
QakBot también se ha convertido en el segundo malware más frecuente en enero de 2024, detrás de FakeUpdates (también conocido como SocGholish), pero por delante de otras familias como Formbook, Nanocore, AsyncRAT, Remcos RAT y Agent Tesla.
El desarrollo se produce cuando Malwarebytes reveló una nueva campaña en la que sitios de phishing que imitan a instituciones financieras como Barclays engañan a objetivos potenciales para que descarguen software de escritorio remoto legítimo como AnyDesk para supuestamente resolver problemas inexistentes y, en última instancia, permitir que los actores de amenazas obtengan el control de la máquina.
Fuente y redacción: thehackernews.com
