Le chargeur de logiciels malveillants Bumblebee a été repéré lors de nouvelles attaques récemment, plus de quatre mois après qu’Europol l’ait perturbé lors de « l’opération Endgame » en mai.

Considéré comme la création de développeurs TrickBot, le malware est apparu en 2022 en remplacement de la porte dérobée BazarLoader pour fournir aux acteurs de la menace ransomware l’accès aux réseaux des victimes.

Bumblebee réalise généralement une infection via le phishing, la publicité malveillante et l’empoisonnement SEO qui ont promu divers logiciels (par exemple Zooom, Cisco AnyConnect, ChatGPT et Citrix Workspace).

Parmi les charges utiles généralement fournies par Bumblebee figurent des balises de frappe au cobalt, des logiciels malveillants volant des informations et diverses souches de ransomwares.

En mai, une opération internationale d’application de la loi baptisée « Opération Endgame » a saisi plus d’une centaine de serveurs prenant en charge les multiples opérations de chargement de logiciels malveillants, notamment IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader et SystemBC.

Depuis, Bumblebee est devenu silencieux. Cependant, des chercheurs de la société de cybersécurité Netskope ont observé une nouvelle activité de bourdon liée au logiciel malveillant, ce qui pourrait indiquer une résurgence.

Dernière chaîne d’attaque de bourdons
La chaîne d’attaque la plus récente de Bumblebee commence par un e-mail de phishing qui incite la victime à télécharger une archive ZIP malveillante.

Le fichier compressé contient un .Raccourci LNK nommé Rapport-41952.lnk, qui déclenche PowerShell pour télécharger un programme malveillant .Fichier MSI (y. msi) déguisé en mise à jour de pilote NVIDIA légitime ou en programme d’installation en cours de route à partir d’un serveur distant.

Faux installateurs Mid journey et NVIDIA

Le fichier MSI est ensuite exécuté silencieusement à l’aide de msiexec.exe avec l’option /qn, qui garantit que le processus s’exécute sans aucune interaction de l’utilisateur.

Pour éviter de générer de nouveaux processus, ce qui est plus bruyant, le malware utilise la table SelfReg dans la structure MIS, qui demande à msiexec.exe pour charger la DLL dans son propre espace d’adressage et pour appeler sa fonction DllRegisterServer.

Une fois la DLL chargée et exécutée, le processus de décompression des logiciels malveillants commence, conduisant au déploiement de Bumblebee en mémoire.

Charge utile finale mappée dans la mémoire du processus msiexec.

Netskope commente que la charge utile Bumblebee porte sa DLL interne de signature et son schéma de dénomination des fonctions exportées, ainsi que les mécanismes d’extraction de configuration observés dans les variantes précédentes.

La clé RC4 qui déchiffre sa configuration lors des attaques les plus récentes utilise la chaîne « NEW_BLACK », alors qu’il existe deux identifiants de campagne, à savoir « msi » et « lnk001. »

La chaîne « NEW_BLACK » vue dans les charges utiles les plus récentes

Netskope n’a fourni aucune information sur les charges utiles abandonnées par Bumblebee ni sur l’ampleur de la campagne, mais le rapport sert d’avertissement des premiers signes d’une éventuelle résurgence.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *