A partire da marzo 2022, Proofpoint ha osservato campagne che distribuiscono un nuovo downloader chiamato Bumblebee, rilevando almeno tre cluster di attività che includono noti gruppi di cybercrime. Le campagne identificate da Proofpoint si sovrappongono all’attività dettagliata nel blog del Google Threat Analysis Group che porta al ransomware Conti e Diavol.
Bumblebee è un downloader sofisticato che contiene controlli anti-virtualizzazione e un’implementazione unica di capacità comuni di downloader, nonostante ci si trovi ancora in uno stato iniziale di sviluppo del malware. Obiettivo di Bumblebee è quello di scaricare ed eseguire ulteriori payload pericolosi. I ricercatori di Proofpoint hanno osservato che Bumblebee è in grado di distribuire Cobalt Strike, shellcode, Sliver e Meterpreter. Il nome del malware deriva dall’unico User-Agent “bumblebee” utilizzato nelle prime campagne.
Secondo Sherrod DeGrippo, Vice President, Threat Research and Detection di Proofpoint: “L’introduzione del loader Bumblebee nel panorama delle minacce crimeware e la sua apparente sostituzione di BazaLoader dimostrano la flessibilità dei cybecriminali nel cambiare rapidamente il loro modo di operare adottando minacce informatiche sempre nuove. Inoltre, il malware è abbastanza sofisticato e dimostra di essere in continuo sviluppo, mostrando nuovi metodi per eludere il rilevamento”.
L’avvento del downloader Bumblebee coincide con l’apparente scomparsa di BazaLoader, un popolare payload che facilita compromessi successivi, non più rilevato da Proofpoint dallo scorso febbraio. Diversi attori di minacce che tipicamente usavano BazaLoader nelle loro campagne sono passati a Bumblebee.
I ricercatori Proofpoint hanno osservato che Bumblebee viene distribuito in campagne e-mail da almeno tre attori di minacce noti, che utilizzano tecniche diverse. Generalmente esche, tecniche di consegna e nomi dei file utilizzati sono di personalizzati dai diversi cybercriminali, ma Proofpoint ha osservato diversi punti in comune tra le campagne, come l’uso di file ISO contenenti file di collegamento e DLL e un punto di ingresso DLL comune utilizzato da più attori nella stessa settimana.
