El malware Bumblebee ha reaparecido en recientes ataques después de un periodo de interrupción de cuatro meses, tras la operación internacional ‘Endgame‘ liderada por Europol.

Este malware fue introducido en 2022 para reemplazar a BazarLoader y facilitar a los grupos de ransomware el acceso a las redes de sus objetivos. Suele utilizar métodos de phishing, publicidad maliciosa y envenenamiento de SEO para engañar a las víctimas, promoviendo aplicaciones falsas como Zoom, Cisco AnyConnect, ChatGPT y Citrix Workspace.

Bumblebee permite entregar cargas útiles adicionales como Cobalt Strike, programas de robo de información y variantes de ransomware.

En mayo, la operación ‘Endgame’ desmanteló más de cien servidores que apoyaban la distribución de malware como IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader y SystemBC.

No obstante, investigadores de Netskope detectaron signos de actividad renovada del malware Bumblebee. En la cadena de ataque más reciente, un correo de phishing persuade a la víctima para descargar un ZIP que contiene un archivo de acceso directo LNK, denominado «Report-41952[.]lnk». Al ejecutarse, activa un comando PowerShell que descarga un MSI malicioso desde un servidor remoto, disfrazado de una actualización de NVIDIA o un instalador de Midjourney.

Este archivo MSI se ejecuta silenciosamente mediante «msiexec[.]exe» usando la opción «/qn«, permitiendo que el malware cargue una DLL en el mismo espacio de direcciones sin la intervención del usuario. Este proceso culmina en el despliegue Bumblebee en la memoria.

El malware muestra características internas similares a variantes anteriores, como la clave RC4 «NEW_BLACK» utilizada para desencriptar su configuración y los identificadores de campaña «msi» y «lnk001«.

Fuente:

New Bumblebee Loader Infection Chain Signals Possible Resurgence