En el último mes se han registrado al menos tres oleadas separadas de ciberataques que incluyen un nuevo y sofisticado cargador de malware denominado Bumblebee. El mismo se utiliza propaga a través de Phishing y se cree que es un reemplazo directo para BazaLoader; otro Malware de comportamiento similar detectado a principios de mayo del año pasado.
Al igual que BazaLoader, Bumblebee está escrito en C++ y está diseñado para actuar como un descargador para recuperar y ejecutar módulos adicionales.
Bumblebee sirve de puerta a otros tipos de Malware
Como mencionamos con anterioridad, el vector de infección de Bumblebee es el Phishing. En este sentido, los ataques toman la forma de correos electrónicos con firmas digitales que parecen legítimas, pero que en realidad incorporan enlaces fraudulentos o archivos adjuntos HTML, los cuales llevan a las potenciales víctimas a un archivo ISO comprimido alojado en Microsoft OneDrive que contiene accesos directos y archivos DLL.
Como se puede apreciar en la imagen de arriba, los correros electrónicos maliciosos pueden disfrazarse como un correo electrónico de una factura impaga, instando al usuario a descargar el supuesto recibo; que en realidad se trata de un archivo ISO lleno de malware.
Si se preguntan lo que les ocurre a los equipos infectados, pues Bumblebee actúa como un cargador de Malware, distribuyendo todavía más malware al ordenador infectado, como por ejemplo Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader y Cobalt Strike. De igual manera, tiene el potencial de inyectar ransomware.
Por ahora se sabe que es bastante sofisticado y emplea técnicas avanzadas de ofuscación que dificultan su detección y análisis. Algunas de las medidas incluyen antivirtualización y sandbox, lo que previene al código de ejecutarse en una máquina virtual para su estudio.
Este Malware está siendo desarrollando activamente y hay evidencia de que cada día gana nuevas capacidades. Sea como sea, no es algo con lo que queramos lidiar en nuestros PCs, así que ojo atento a los enlaces que abrimos desde el correo y los sitios que visitamos.
Vía | The Hacker News