Network-Secure Campanha 01 Desktop Entrada: 22062022 21h52m

Novo carregador de malware é usado por grupos de ameaças

Downloader Bumblebee está sendo utilizado por vários grupos de ameaças que anteriormente implantaram o BazarLoader e o IceID
Da Redação
01/05/2022

Pesquisadores de segurança alertam sobre um novo carregador de malware já em uso que parece ter suplantado o prolífico BazarLoader. Apelidado de “Bumblebee”, o malware está sendo usado por vários grupos de ameaças que anteriormente implantaram o BazarLoader e o IceID, de acordo com a Proofpoint. A fornecedora de soluções de segurança cibernética disse que não há registro de atividade do BazarLoader desde fevereiro.

“O Bumblebee é um downloader sofisticado que contém verificações antivirtualização e uma implementação única de recursos comuns de download, apesar do desenvolvimento recente do malware”, disse a Proofpoint.

Os pesquisadores da empresa dizem ter observado o carregador de malware descartando o Cobalt Strike, shellcode, Sliver e Meterpreter. O nome do malware vem do agente de usuário exclusivo ‘bumblebee’ usado nas primeiras campanhas. 

De acordo com o relatório da Proofpoint, o objetivo do Bumblebee é baixar e executar cargas adicionais. O documento aponta que ele foi vinculado ao grupo de ransomware Conti, embora esteja sendo usado principalmente por corretores de acesso inicial.

Ainda conforme o documento, é possível que o desenvolvimento do Bumblebee tenha começado depois que a infraestrutura do BazarLoader foi identificada no vasto acervo de informações internas sobre o grupo Conti vazadas por um pesquisador no início deste ano.

Veja isso
Ransomware Conti atinge o Banco Central da Indonésia
Servidores Microsoft SQL estão vulneráveis ao Cobalt Strike

A Proofpoint disse que observou várias campanhas de e-mail executadas por ao menos três agentes de ameaças usando iscas personalizadas para induzir os usuários a baixar o Bumblebee. Um deles usava e-mails de phishing da marca DocuSign e foi rastreado até o TA579, que já havia usado BazarLoader e IceID.

Os pesquisadores disseram que também existem várias semelhanças entre o carregador e o malware TrickBot em termos de código, como é entregue, suas cargas úteis e técnicas de evasão. “Como o BazarLoader foi usado em ataques Conti no passado, o Bumblebee provavelmente se tornará uma ferramenta popular para grupos de ransomware”, dizem eles.

“A introdução do carregador no cenário de ameaças de crimeware e sua aparente substituição pelo BazarLoader demonstram a flexibilidade que os operadores de ameaças têm para mudar rapidamente as táticas, técnicas e procedimentos [TTPs] e adotar novos malwares”, alerta o vice-presidente de pesquisa e detecção de ameaças da Proofpoint, Sherrod DeGrippo. “Além disso, o malware é bastante sofisticado e demonstra estar em desenvolvimento contínuo e ativo, introduzindo novos métodos para evitar a detecção”, completa.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)