Logiciel malveillant Bumblebee

Un nouveau logiciel malveillant de chargement sophistiqué a été identifié dans le cadre d'au moins trois opérations menaçantes distinctes. Nommée le malware Bumblebee, la menace est déployée en tant que malware de phase initiale chargé de la livraison et de l'exécution des charges utiles de la phase suivante. L'objectif probable des attaquants est de déployer une charge utile finale de ransomware sur l'appareil piraté et d'extorquer de l'argent aux victimes concernées.

Les détails de la menace ont été révélés au public dans un rapport de Proofpoint. Selon les chercheurs, le malware Bumblebee a peut-être comblé le vide laissé par une menace de chargeur précédemment identifiée connue sous le nom de BazaLoader. On pense que les groupes qui utilisent le logiciel malveillant Bumblebee agissent en tant que courtiers d'accès initial (IAB). Ces organisations de cybercriminalité se concentrent sur l'infiltration d'entreprises cibles, puis sur la vente de l'accès par porte dérobée établie à d'autres cybercriminels sur le Dark Web.

Capacités menaçantes

Bumblebee démontre une vaste gamme de techniques d'évasion élaborées, même si la menace est toujours considérée comme étant en cours de développement actif. Le logiciel malveillant vérifie les environnements sandbox ou les signes de virtualisation. Il crypte également sa communication avec l'infrastructure de commande et de contrôle (C2, C&C) des opérations d'attaque. Bumblebee analyse également les processus en cours d'exécution sur l'appareil piraté à la recherche d'outils d'analyse de logiciels malveillants courants extraits d'une liste codée en dur.

Une autre caractéristique distinctive de la menace est qu'elle n'utilise pas les mêmes techniques de creusement de processus ou d'injection de DLL que celles souvent observées dans des menaces similaires. Au lieu de cela, Bumblebee utilise une injection APC (appel de procédure asynchrone), qui lui permet d'initier le shellcode à partir des commandes entrantes envoyées par son serveur C2. Les premières actions entreprises par la menace une fois déployée sur les machines ciblées incluent la collecte d'informations système et la génération d'un « ID client ».

Par la suite, Bumblebee tentera d'établir un contact avec les serveurs C2 en accédant à l'adresse associée stockée en clair. Les versions de la menace analysées par les chercheurs pourraient reconnaître plusieurs commandes, notamment l'injection de shellcode, l'injection de DLL, le lancement d'un mécanisme de persistance, la récupération des exécutables de la charge utile de l'étape suivante et une option de désinstallation.