I ricercatori di Proofpoint hanno scoperto che il famigerato gruppo Conti ha sviluppato un nuovo malware per distribuire ransomware e altri payload pericolosi. A partire dal mese di marzo sono state individuati attacchi effettuati con Bumblebee, un downloader molto sofisticato che probabilmente ha sostituito l’altrettanto noto BazaLoader.
Bumblebee: nuova cyber-arma di Conti
ProofPoint ha rilevato le prime campagne malevoli a partire dal mese di marzo. Bumblebee viene distribuito attraverso email di phishing, con le quali i cybercriminali chiedono il pagamento di una fattura. Il messaggio contiene un link che porta ad un’immagine ISO caricata su OneDrive. In alcuni casi, il link viene nascosto in un allegato HTML. All’interno dell’immagine ISO ci sono due file (.lnk e .dat). Cliccando sul file .lnk viene eseguito il file .dat che avvia Bumblebee.
In altri casi, l’immagine ISO è allegata direttamente all’email in formato ZIP. Invece del file .dat c’è un file .dll che avvia Bumblebee. Per un altro attacco è stato utilizzato Google Drive al posto di OneDrive, ma il risultato finale è sempre lo stesso. Il malware, sviluppato dal gruppo Conti, viene usato da molti cybercriminali.
Dopo aver raccolto varie informazioni del sistema colpito, il malware avvia la comunicazione con il server C2 (command and control) per ricevere istruzioni. Essendo un downloader, Bumblebee può scaricare sul computer altri malware, ransomware inclusi.
Dato che la “porta di ingresso” è rappresentata da un’email, gli utenti devono prestare molta attenzione all’indirizzo del mittente, evitando di cliccare sui link inclusi nel messaggio. Molto consigliata l’installazione di una soluzione di sicurezza che rileva i tentativi di phishing, come Kaspersky Total Security.