CISO Advisor: 243.905 page views/mês - 91.122 usuários/mês - 5.288 assinantes

Novo carregador de malware é usado por grupos de ameaças

Da Redação
01/05/2022

Pesquisadores de segurança alertam sobre um novo carregador de malware já em uso que parece ter suplantado o prolífico BazarLoader. Apelidado de “Bumblebee”, o malware está sendo usado por vários grupos de ameaças que anteriormente implantaram o BazarLoader e o IceID, de acordo com a Proofpoint. A fornecedora de soluções de segurança cibernética disse que não há registro de atividade do BazarLoader desde fevereiro.

“O Bumblebee é um downloader sofisticado que contém verificações antivirtualização e uma implementação única de recursos comuns de download, apesar do desenvolvimento recente do malware”, disse a Proofpoint.

Os pesquisadores da empresa dizem ter observado o carregador de malware descartando o Cobalt Strike, shellcode, Sliver e Meterpreter. O nome do malware vem do agente de usuário exclusivo ‘bumblebee’ usado nas primeiras campanhas. 

De acordo com o relatório da Proofpoint, o objetivo do Bumblebee é baixar e executar cargas adicionais. O documento aponta que ele foi vinculado ao grupo de ransomware Conti, embora esteja sendo usado principalmente por corretores de acesso inicial.

Ainda conforme o documento, é possível que o desenvolvimento do Bumblebee tenha começado depois que a infraestrutura do BazarLoader foi identificada no vasto acervo de informações internas sobre o grupo Conti vazadas por um pesquisador no início deste ano.

Veja isso
Ransomware Conti atinge o Banco Central da Indonésia
Servidores Microsoft SQL estão vulneráveis ao Cobalt Strike

A Proofpoint disse que observou várias campanhas de e-mail executadas por ao menos três agentes de ameaças usando iscas personalizadas para induzir os usuários a baixar o Bumblebee. Um deles usava e-mails de phishing da marca DocuSign e foi rastreado até o TA579, que já havia usado BazarLoader e IceID.

Os pesquisadores disseram que também existem várias semelhanças entre o carregador e o malware TrickBot em termos de código, como é entregue, suas cargas úteis e técnicas de evasão. “Como o BazarLoader foi usado em ataques Conti no passado, o Bumblebee provavelmente se tornará uma ferramenta popular para grupos de ransomware”, dizem eles.

“A introdução do carregador no cenário de ameaças de crimeware e sua aparente substituição pelo BazarLoader demonstram a flexibilidade que os operadores de ameaças têm para mudar rapidamente as táticas, técnicas e procedimentos [TTPs] e adotar novos malwares”, alerta o vice-presidente de pesquisa e detecção de ameaças da Proofpoint, Sherrod DeGrippo. “Além disso, o malware é bastante sofisticado e demonstra estar em desenvolvimento contínuo e ativo, introduzindo novos métodos para evitar a detecção”, completa.

Compartilhar: