Pesquisadores de segurança alertam sobre um novo carregador de malware já em uso que parece ter suplantado o prolífico BazarLoader. Apelidado de “Bumblebee”, o malware está sendo usado por vários grupos de ameaças que anteriormente implantaram o BazarLoader e o IceID, de acordo com a Proofpoint. A fornecedora de soluções de segurança cibernética disse que não há registro de atividade do BazarLoader desde fevereiro.
“O Bumblebee é um downloader sofisticado que contém verificações antivirtualização e uma implementação única de recursos comuns de download, apesar do desenvolvimento recente do malware”, disse a Proofpoint.
Os pesquisadores da empresa dizem ter observado o carregador de malware descartando o Cobalt Strike, shellcode, Sliver e Meterpreter. O nome do malware vem do agente de usuário exclusivo ‘bumblebee’ usado nas primeiras campanhas.
De acordo com o relatório da Proofpoint, o objetivo do Bumblebee é baixar e executar cargas adicionais. O documento aponta que ele foi vinculado ao grupo de ransomware Conti, embora esteja sendo usado principalmente por corretores de acesso inicial.
Ainda conforme o documento, é possível que o desenvolvimento do Bumblebee tenha começado depois que a infraestrutura do BazarLoader foi identificada no vasto acervo de informações internas sobre o grupo Conti vazadas por um pesquisador no início deste ano.
Veja isso
Ransomware Conti atinge o Banco Central da Indonésia
Servidores Microsoft SQL estão vulneráveis ao Cobalt Strike
A Proofpoint disse que observou várias campanhas de e-mail executadas por ao menos três agentes de ameaças usando iscas personalizadas para induzir os usuários a baixar o Bumblebee. Um deles usava e-mails de phishing da marca DocuSign e foi rastreado até o TA579, que já havia usado BazarLoader e IceID.
Os pesquisadores disseram que também existem várias semelhanças entre o carregador e o malware TrickBot em termos de código, como é entregue, suas cargas úteis e técnicas de evasão. “Como o BazarLoader foi usado em ataques Conti no passado, o Bumblebee provavelmente se tornará uma ferramenta popular para grupos de ransomware”, dizem eles.
“A introdução do carregador no cenário de ameaças de crimeware e sua aparente substituição pelo BazarLoader demonstram a flexibilidade que os operadores de ameaças têm para mudar rapidamente as táticas, técnicas e procedimentos [TTPs] e adotar novos malwares”, alerta o vice-presidente de pesquisa e detecção de ameaças da Proofpoint, Sherrod DeGrippo. “Além disso, o malware é bastante sofisticado e demonstra estar em desenvolvimento contínuo e ativo, introduzindo novos métodos para evitar a detecção”, completa.