A distanza di quasi cinque mesi dalla Operation Endgame di Europol, i ricercatori di Netskope hanno individuato nuovi attacchi effettuati con Bumblebee, un famigerato loader utilizzato principalmente per accedere alle reti aziendali e installare altri malware.
Bumblebee: catena di infezione
La catena di infezione inizia con l’invio di email di phishing con un archivio ZIP in allegato. Al suo interno c’è un file LNK che, quando eseguito, utilizza PowerShell per scaricare un file MSI da un server remoto. Quest’ultimo viene copiato su disco con un altro nome e avviato automaticamente senza l’interazione dell’utente.
Il file MSI sembra l’installer dei driver NVIDIA o Midjourney. Sfruttando i tool di Windows, l’installer carica in memoria una DLL, ovvero Bumblebee. Per evitare la creazione di nuovi processi che potrebbero destare sospetti, il malware usa la tabella SelfReg all’interno della struttura MSI. La DLL viene quindi caricata nello spazio di indirizzi del processo msiexec
.
La configurazione di Bumblebee viene decifrata tramite una chiave RC4 presente nel codice. Gli esperti di Netskope non hanno fornito dettagli sui malware distribuiti dal loader. In passato è stato utilizzato per installare sui computer beacon Cobalt Strike, info-stealer e vari ransomware.
La scoperta di Netskope evidenzia per l’ennesima volta che le operazioni delle forze dell’ordine rallentano solo le attività dei cybercriminali. In pochi mesi riescono a ricostruire l’infrastruttura ed effettuare nuovi attacchi con versioni aggiornate dei malware.