Bumblebee è un noto malware sviluppato dal gruppo Conti per sostituire BazarLoader e accedere alle reti aziendali prima di effettuare un attacco ransomware. I ricercatori di Secureworks hanno scoperto che il loader, pubblicizzato tramite Google Ads, viene nascosto negli installer di software popolari.
Bumblebee nel software Cisco AnyConnect
La campagna in corso, individuata dai ricercatori di Secureworks, sfrutta la piattaforma Google Ads. In alcune pagine di siti WordPress compromessi vengono mostrate inserzioni pubblicitarie relative a noti software. L’ignara vittima clicca sul banner e finisce sul sito fasullo che ospita l’installer. Uno di essi è quello di AnyConnect Secure Mobility Client v4.x, il tool di accesso remoto di Cisco.
L’installer MSI contiene l’eseguibile legittimo CiscoSetup.exe
e lo script PowerShell cisco2.ps1
. Quando eseguito copia i due file nella directory TEMP di Windows. L’eseguibile installa la versione ufficiale di AnyConnect Secure Mobility Client, mentre lo script installa il loader Bumblebee che viene successivamente caricato in memoria.
In altri casi vengono utilizzati gli installer fasulli di Zoom, Citrix Workspace e ChatGPT (che non esiste in realtà). I cybercriminali hanno anche rilevato un cosiddetto movimento laterale nella rete, circa tre ore dopo l’infezione iniziale, per distribuire Cobalt Strike, oltre a tool per accesso remoto, scansione della rete, dumper di database Active Directory e stealer di credenziali Kerberos.
Secureworks ha trovato numerosi indirizzi associati a server C2C (command and control), usati per scaricare i parametri di configurazione del malware e caricare i dati rubati. Il consiglio è installare sempre una soluzione di sicurezza che rileva queste minacce.