El malware Bumblebee regresó después de unas vacaciones de cuatro meses y se dirigió a miles de organizaciones en los Estados Unidos en campañas de phishing.
Bumblebee es un cargador de malware descubierto en abril de 2022 y se cree que fue desarrollado por el sindicato de delitos cibernéticos Conti y Trickbot como reemplazo de la puerta trasera BazarLoader.
El malware se distribuye comúnmente en campañas de phishing para colocar cargas útiles adicionales en dispositivos infectados, como balizas Cobalt Strike, para el acceso inicial a la red y para realizar ataques de ransomware .
En una nueva campaña de malware observada por Proofpoint , el regreso de Bumblebee desde octubre es significativo, ya que podría conducir a un aumento más amplio de las actividades de ciberdelincuencia a medida que nos acercamos al 2024.
Difusión a través de Mensajes de Voz Falsos
La nueva campaña de phishing que impulsa Bumblebee pretende ser notificaciones de correo de voz que utilizan el asunto “Voicemail February” y fueron enviadas a miles de organizaciones en los EE. UU. desde la dirección “info@quarlessa[.]com”.
Los correos electrónicos contienen una URL de OneDrive que descarga un documento de Word llamado “ReleaseEvans#96.docm” o algo similar, con un señuelo que pretende ser de la empresa de electrónica de consumo hu.ma.ne, conocida por su pin con tecnología de inteligencia artificial.
El documento malicioso emplea macros para crear un archivo de script en la carpeta temporal de Windows y luego ejecuta el archivo eliminado usando “wscript”.
Este archivo temporal contiene un comando de PowerShell que recupera y ejecuta la siguiente etapa desde un servidor remoto, que eventualmente descarga e inicia la DLL de Bumblebee (w_ver.dll) en el sistema de la víctima.
Proofpoint comenta que el uso de macros de VBA en documentos es notable e inusual luego de la decisión de Microsoft de bloquear las macros de forma predeterminada en 2022, lo que dificulta que la campaña logre mucho éxito.
Las campañas anteriores de Bumblebee emplearon métodos como descargas directas de DLL, contrabando de HTML y explotación de vulnerabilidades como CVE-2023-38831 para entregar la carga útil final, por lo que la cadena de ataque actual representa una desviación significativa de las técnicas más modernas.
Las posibles explicaciones para esto incluyen la evasión, ya que los VBA maliciosos ahora son menos comunes o la orientación específica o específica dirigida a sistemas muy obsoletos. Además, Bumblebee puede estar probando y diversificando sus métodos de distribución.
Proofpoint afirma que Bumblebee ha experimentado con documentos cargados de macros en campañas anteriores, aunque esos casos corresponden sólo al 4,3% del total registrado (230 campañas).
Antes de la ruptura de Bumblebee, el último desarrollo notable del malware fue en septiembre de 2023, cuando el malware empleó una nueva técnica de distribución basada en el abuso de los servicios WebDAV de 4shared para evadir las listas de bloqueo.
El Cibercrimen vuelve al Trabajo
Bumblebee suele alquilarse a ciberdelincuentes que quieren evitar la etapa de acceso inicial e introducir sus cargas útiles en sistemas ya vulnerados.
Proofpoint dice que no hay evidencia suficiente para atribuir la reciente campaña a ningún grupo de amenaza en particular. Sin embargo, los investigadores dicen que la campaña tiene las características distintivas de los actores de amenazas que rastrean como TA579.
Según Proofpoint, otros actores de amenazas que recientemente han mostrado un resurgimiento en sus actividades incluyen TA576, TA866, TA582 y TA2541.
La interrupción de QBot (Qakbot) por parte de las autoridades policiales ha creado un vacío en el mercado de distribución de carga útil, que otro malware está intentando llenar.
Los casos notables incluyen DarkGate y Pikabot , dos cargadores de malware de gran capacidad que ahora generan infecciones a través de múltiples canales, incluido el phishing, la publicidad maliciosa y los mensajes en Skype y Microsoft Teams .
Zscaler publicó ayer un informe sobre Pikabot, señalando que el malware ha resurgido con una versión nueva y simplificada este mes, luego de una breve pausa después de la Navidad del año pasado.
La nueva versión de Pikabot ha eliminado las técnicas avanzadas de ofuscación de código utilizadas anteriormente y utiliza un sistema de configuración menos versátil, por lo que parece un lanzamiento anticipado de una variante renovada.