Le malware Bumblebee est de retour après quatre mois de vacances, ciblant des milliers d’organisations aux États-Unis dans des campagnes de phishing.

Bumblebee est un chargeur de logiciels malveillants découvert en avril 2022 et qui aurait été développé par le syndicat de la cybercriminalité du comté et Trickbot en remplacement de la porte dérobée BazarLoader.

Le malware est couramment distribué dans des campagnes de phishing pour déposer des charges utiles supplémentaires sur des appareils infectés, tels que des balises Cobalt Strike, pour un accès initial au réseau et pour mener des attaques de ransomware.

Dans une nouvelle campagne de logiciels malveillants observée par Proofpoint, le retour de Bumblebee depuis octobre est significatif car il pourrait entraîner une augmentation plus large des activités de cybercriminalité à l’approche de 2024.

Diffusion via de faux messages vocaux
La nouvelle campagne de phishing poussant Bumblebee prétend être des notifications de messagerie vocale qui utilisent le sujet de « Messagerie vocale février » et ont été envoyées à des milliers d’organisations aux États-Unis à partir de l’adresse « info@quarlessa[.] com. »

Diffusion d’e-mails de phishing Bumblebee

Les e-mails contiennent une URL OneDrive qui télécharge un document Word nommé « ReleaseEvans#96.docm  » ou quelque chose de similaire, avec un leurre prétendant provenir d’une entreprise d’électronique grand public hu.ma.ne, connu pour sa broche alimentée par l’IA.

Le faux document contenant la macro VBA

Le document malveillant utilise des macros pour créer un fichier de script dans le dossier temporaire de Windows, puis exécute le fichier supprimé à l’aide de « wscript. »

Ce fichier temporaire contient une commande PowerShell qui récupère et exécute l’étape suivante à partir d’un serveur distant, qui télécharge et lance éventuellement la DLL Bumblebee (w_ver.dll) sur le système de la victime.

Proofpoint commente que l’utilisation de macros VBA dans les documents est notable et inhabituelle suite à la décision de Microsoft de bloquer les macros par défaut en 2022, ce qui rend plus difficile le succès de la campagne.

Les campagnes précédentes de Bumblebee utilisaient des méthodes telles que le téléchargement direct de DLL, la contrebande HTML et l’exploitation de vulnérabilités telles que CVE-2023-38831 pour fournir la charge utile finale, de sorte que la chaîne d’attaque actuelle représente un écart significatif par rapport aux techniques plus modernes.

Les explications possibles à cela incluent l’évasion puisque les ANTIVIRUS malveillants sont maintenant moins courants ou un ciblage de niche/étroit visant des systèmes gravement obsolètes. De plus, Bumblebee teste et diversifie peut-être ses méthodes de distribution.

Proofpoint indique que Bumblebee a expérimenté des documents chargés de macros lors de campagnes précédentes, bien que ces cas ne correspondent qu’à 4,3% du total enregistré (campagnes 230).

Avant la pause de Bumblebee, le dernier développement notable du malware remonte à septembre 2023, lorsque le malware a utilisé une nouvelle technique de distribution reposant sur l’abus des services WebDAV 4shared pour échapper aux listes de blocage.

La cybercriminalité retourne au travail
Bumblebee est généralement loué à des cybercriminels qui souhaitent contourner la phase d’accès initiale et introduire leurs charges utiles dans des systèmes déjà piratés.

Proofpoint affirme qu’il n’y a pas suffisamment de preuves pour attribuer la récente campagne à des groupes de menaces particuliers. Cependant, les chercheurs affirment que la campagne porte les caractéristiques des acteurs de la menace qu’ils suivent sous le nom de TA579.

Selon Proofpoint, d’autres acteurs de la menace qui ont récemment montré une résurgence de leurs activités incluent TA576, TA866, TA582 et TA2541.

La perturbation de QBot (Qakbot) par les autorités chargées de l’application de la loi a créé un vide sur le marché de la distribution de la charge utile, que d’autres logiciels malveillants tentent de combler.

Les cas notables incluent DarkGate et Pikabot, deux chargeurs de logiciels malveillants hautement performants qui entraînent désormais des infections via plusieurs canaux, notamment le phishing, la publicité malveillante et les messages sur Skype et Microsoft Teams.

Zscaler a publié un rapport sur Pikabot hier, notant que le malware est réapparu avec une nouvelle version simplifiée ce mois-ci, après une courte interruption après Noël l’année dernière.

La nouvelle version de Pikabot a supprimé les techniques avancées d’obscurcissement du code utilisées précédemment et utilise un système de configuration moins polyvalent, cela ressemble donc à une version anticipée d’une variante remaniée.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *