Malware de abejorro
Se identificó un nuevo malware de cargador sofisticado como parte de al menos tres operaciones amenazantes separadas. Denominado malware Bumblebee, la amenaza se implementa como un malware de etapa inicial encargado de la entrega y ejecución de las cargas útiles de la siguiente etapa. El objetivo probable de los atacantes es implementar una carga útil de ransomware final en el dispositivo violado y extorsionar a las víctimas afectadas por dinero.
Los detalles sobre la amenaza fueron revelados al público en un informe de Proofpoint. Según los investigadores, el malware Bumblebee puede haber llenado el vacío dejado por una amenaza de cargador previamente identificada conocida como BazaLoader. Se cree que los grupos que utilizan el malware Bumblebee actúan como intermediarios de acceso inicial (IAB). Estas organizaciones de delitos cibernéticos se enfocan en infiltrarse en objetivos corporativos y luego vender el acceso de puerta trasera establecido a otros ciberdelincuentes en la Dark Web.
Capacidades amenazantes
Bumblebee demuestra una amplia gama de elaboradas técnicas de evasión, aunque todavía se considera que la amenaza está en desarrollo activo. El malware realiza comprobaciones de entornos sandbox o signos de virtualización. También encripta su comunicación con la infraestructura de Comando y Control (C2, C&C) de las operaciones de ataque. Bumblebee también escanea los procesos en ejecución en el dispositivo violado en busca de herramientas comunes de análisis de malware tomadas de una lista codificada.
Otra característica distintiva de la amenaza es que no utiliza las mismas técnicas de vaciado de procesos o de inyección de DLL que a menudo se observan en amenazas similares. En cambio, Bumblebee utiliza una inyección de APC (llamada de procedimiento asíncrono), que le permite iniciar el código de shell de los comandos entrantes enviados por su servidor C2. Las primeras acciones tomadas por la amenaza una vez implementada en las máquinas objetivo incluyen la recopilación de información del sistema y la generación de una 'ID de cliente'.
Posteriormente, Bumblebee intentará establecer contacto con los servidores C2 accediendo a la dirección asociada almacenada en texto sin formato. Las versiones de la amenaza analizadas por los investigadores podrían reconocer varios comandos, incluida la inyección de shellcode, la inyección de DLL, el inicio de un mecanismo de persistencia, la obtención de los ejecutables de la carga útil de la siguiente etapa y una opción de desinstalación.
