Bumblebee è un malware sviluppato dal gruppo Conti per sostituire BazarLoader. I ricercatori di Cyble hanno scoperto una nuova versione con alcune modifiche rispetto a quella originale di fine aprile. La catena di infezione è stata aggiornata per ottenere una maggiore di probabilità di successo durante gli attacchi. Rimane intatta la sua funzionalità di downloader e quindi la distribuzione di altri malware, ransomware inclusi.
Bumblebee: versione 2.0
Bumblebee viene distribuito tramite phishing. La prima versione prevedeva l’invio di un’immagine ISO (protetto da password) come allegato. All’interno c’erano un file LNK e un file DLL. Cliccando sul primo veniva eseguito il secondo, ovvero il malware. La seconda versione usa invece un’immagine VHD. Al suo interno c’è ancora un file LNK, ma stavolta viene eseguito uno script PowerShell.
Lo script viene eseguito in background (la finestra di PowerShell non è visibile). Il codice è offuscato usando Base64 e sfrutta la concatenazione delle stringhe per evitare la rilevazione da parte degli antivirus. Viene quindi eseguito il secondo stadio che utilizza il modulo PowerSploit per caricare la DLL di Bumblebee nella memoria del processo PowerShell, sfruttando la tecnica nota come “reflective injection“.
Dato che non viene copiato nulla su disco, gli antivirus non dovrebbero rilevare il malware. Fortunatamente anche questo trucco è stato scoperto. Ciò dimostra l’utilità di una soluzione di sicurezza. Tra le più efficaci c’è Avast Premium Security.
Ti potrebbe interessare
9 set 2022