Le malware Bumblebee ciblant les entreprises est distribué via Google Ads et l’empoisonnement SEO qui font la promotion de logiciels populaires tels que Zoom, Cisco AnyConnect, ChatGPT et Citrix Workspace.
Bumblebee est un chargeur de logiciels malveillants découvert en avril 2022, qui aurait été développé par l’équipe Conti en remplacement de la porte dérobée BazarLoader, utilisé pour obtenir un accès initial aux réseaux et mener des attaques de ransomware.
En septembre 2022, une nouvelle version du chargeur de logiciels malveillants a été observée dans la nature, avec une chaîne d’attaque plus furtive qui utilisait le framework PowerSploit pour l’injection de DLL réfléchissante dans la mémoire.
Les chercheurs de Secureworks ont récemment découvert une nouvelle campagne utilisant des publicités Google qui font la promotion de versions trojanisées d’applications populaires pour fournir le chargeur de logiciels malveillants à des victimes sans méfiance.
Se cacher dans les applications populaires
L’une des campagnes vues par SecureWorks a commencé par une publicité Google faisant la promotion d’une fausse page de téléchargement du client Cisco AnyConnect Secure Mobility créée le 16 février 2023 et hébergée sur un domaine « appcisco[.]com ».
« Une chaîne d’infection qui a commencé par une annonce Google malveillante a envoyé l’utilisateur vers cette fausse page de téléchargement via un site WordPress compromis », explique le rapport de SecureWorks.
Cette fausse page de destination faisait la promotion d’un programme d’installation MSI contenant un cheval de Troie nommé « cisco-anyconnect-4_9_0195.msi » qui installe le logiciel malveillant BumbleBee.
Lors de l’exécution, une copie du programme d’installation légitime du programme et un script PowerShell au nom trompeur (cisco2.ps1) sont copiés sur l’ordinateur de l’utilisateur.
CiscoSetup.exe est le programme d’installation légitime d’AnyConnect, installant l’application sur l’appareil pour éviter tout soupçon.
Cependant, le script PowerScrip installe le logiciel malveillant BumbleBee et mène une activité malveillante sur l’appareil compromis.
« Le script PowerShell contient une sélection de fonctions renommées copiées à partir du script PowerSploit ReflectivePEInjection.ps1 », explique Secureworks.
« Il contient également une charge utile de logiciel malveillant Bumblebee codée qu’il charge de manière réfléchie dans la mémoire. »
Cela signifie que Bumblebee utilise toujours le même module de structure de post-exploitation pour charger le logiciel malveillant en mémoire sans déclencher d’alarme des produits antivirus existants.
Secureworks a trouvé d’autres packages logiciels avec des paires de fichiers portant le même nom, comme ZoomInstaller.exe et zoom.ps1, ChatGPT.msi et chch.ps1 et CitrixWorkspaceApp.exe et citrix.ps1.
Un chemin vers les ransomwares
Considérant que le logiciel cheval de Troie cible les utilisateurs professionnels, les appareils infectés sont des candidats pour le début des attaques de rançongiciels.
Secureworks a examiné de près l’une des récentes attaques de Bumblebee. Ils ont constaté que l’auteur de la menace exploitait son accès au système compromis pour se déplacer latéralement dans le réseau environ trois heures après l’infection initiale.
Les outils que les attaquants ont déployés sur l’environnement piraté comprennent la suite de tests d’intrusion Cobalt Strike, les outils d’accès à distance AnyDesk et DameWare, des utilitaires d’analyse réseau, un dumper de base de données AD et un voleur d’informations d’identification Kerberos.
Cet arsenal crée un profil d’attaque qui rend très probable que les opérateurs de logiciels malveillants souhaitent identifier les points de réseau accessibles, basculer vers d’autres machines, exfiltrer des données et éventuellement déployer des ransomwares.