![\"\"](\"https:\/\/thehackernews-com.translate.goog\/new-images\/img\/b\/R29vZ2xl\/AVvXsEithUGy72lvJuY9unBW1IHR3KmTDI0E70cKuCD2tj9czeLobqO_kkSWaJct6GDjBQBBXkBLes4Vw8ETvxdLarljcS5ZT-oQPhc0bBVvFbo-vzENghfEVFGd-g_B0rZYQ0P_JIhvq2csE5rFMSGp4X02udgz2ky08_iTngFS2YUpRgcwqB0piSHhhjMh\/s728-e100\/malware-pp.jpg?_x_tr_sl=auto&_x_tr_tl=pt&_x_tr_hl=pt\")
<\/a><\/div>\nAl\u00e9m de apresentar verifica\u00e7\u00f5es anti-virtualiza\u00e7\u00e3o, o Bumblebee \u00e9 escrito em C++ e foi projetado para atuar como um downloader para recuperar e executar cargas \u00fateis do pr\u00f3ximo est\u00e1gio, incluindo Cobalt Strike, Sliver, Meterpreter e shellcode.<\/span><\/p>\n \u00a0<\/p>\n Curiosamente, o aumento da detec\u00e7\u00e3o do carregador de malware no cen\u00e1rio de amea\u00e7as corresponde a uma queda nas implanta\u00e7\u00f5es do BazaLoader desde fevereiro de 2022, outro carregador popular usado para entregar malware de criptografia de arquivos e desenvolvido pela agora extinta gangue TrickBot, que desde ent\u00e3o foi absorvida pela Cont.<\/p>\n \u00a0<\/p>\n As cadeias de ataque que distribuem o Bumblebee assumiram a forma de iscas de phishing de e-mail com a marca DocuSign incorporando links fraudulentos ou anexos HTML, levando v\u00edtimas em potencial a um arquivo ISO compactado hospedado no Microsoft OneDrive.<\/p>\n \u00a0<\/p>\n<\/div>\n Al\u00e9m disso, a URL incorporada no anexo HTML faz uso de um sistema de dire\u00e7\u00e3o de tr\u00e1fego (TDS) apelidado de <\/span>Prometheus<\/span> que est\u00e1 dispon\u00edvel para venda em plataformas subterr\u00e2neas por US$ 250 por m\u00eas para redirecionar as URLs para os arquivos de arquivo com base no fuso hor\u00e1rio e cookies das v\u00edtimas.<\/span><\/p>\n \u00a0<\/p>\n Os arquivos ZIP, por sua vez, incluem arquivos .LNK e .DAT, com o arquivo de atalho do Windows executando o \u00faltimo, contendo o downloader Bumblebee, antes de us\u00e1-lo para entregar o malware BazaLoader e IcedID.<\/p>\n \u00a0<\/p>\n Uma segunda campanha em abril de 2022 envolveu um esquema de sequestro de threads, no qual e-mails leg\u00edtimos com temas de faturas foram assumidos para enviar arquivos ISO compactados, que foram usados \u200b\u200bpara executar um arquivo DLL para ativar o carregador.<\/p>\n \u00a0<\/p>\n Observa-se tamb\u00e9m o uso abusivo do formul\u00e1rio de contato presente no site do alvo para envio de mensagem alegando viola\u00e7\u00e3o de direitos autorais de imagens, direcionando a v\u00edtima para um link do Google Cloud Storage que resulta no download de um arquivo ISO compactado, dando continuidade \u00e0 j\u00e1 mencionada sequ\u00eancia de infec\u00e7\u00e3o .<\/span><\/p>\n \u00a0<\/p>\n A transi\u00e7\u00e3o do BazaLoader para o Bumblebee \u00e9 mais uma evid\u00eancia de que esses agentes de amea\u00e7as\u00a0 provavelmente corretores de acesso inicial que se infiltram em alvos e depois vendem esse acesso a outros e est\u00e3o recebendo o malware de uma fonte comum, ao mesmo tempo em que sinalizam uma sa\u00edda ap\u00f3s o kit de ferramentas de ataque<\/span> do grupo Conti <\/span>se tornar <\/span>conhecimento p\u00fablico<\/span> na mesma \u00e9poca.<\/span><\/p>\n \u00a0<\/p>\n O desenvolvimento tamb\u00e9m coincide com a Conti assumindo o infame botnet TrickBot e fechando-o para se concentrar no desenvolvimento do malware BazaLoader e Anchor. N\u00e3o est\u00e1 imediatamente claro se o Bumblebee \u00e9 o trabalho dos atores do TrickBot e se os vazamentos levaram a gangue a abandonar o BazaLoader em favor de um malware totalmente novo.<\/p>\n \u00a0<\/p>\n Mas o pesquisador de malware da Cybereason, Eli Salem, em uma an\u00e1lise independente , identificou pontos de semelhan\u00e7a entre o Bumblebee e o TrickBot, incluindo o uso do m\u00f3dulo de inje\u00e7\u00e3o da web deste \u00faltimo e a mesma t\u00e9cnica de evas\u00e3o, dando credibilidade \u00e0 possibilidade de que os autores por tr\u00e1s do Bumblebee possam ter acesso ao c\u00f3digo-fonte do TrickBot.<\/p>\n \u00a0<\/p>\n \u201cA introdu\u00e7\u00e3o do Bumblebee loader no cen\u00e1rio de amea\u00e7as de crimeware e sua aparente substitui\u00e7\u00e3o pelo BazaLoader demonstram a flexibilidade que os agentes de amea\u00e7as t\u00eam para mudar rapidamente os TTPs e adotar novos malwares\u201d, informou Sherrod DeGrippo, vice-presidente de pesquisa e detec\u00e7\u00e3o de amea\u00e7as da Proofpoint.<\/p>\n \u00a0<\/p>\n \u201cAl\u00e9m disso, o malware \u00e9 bastante sofisticado e demonstra estar em desenvolvimento cont\u00ednuo e ativo, introduzindo novos m\u00e9todos para evitar a detec\u00e7\u00e3o\u201d, acrescentou DeGrippo.<\/p>\n<\/div>\n \u00a0<\/p>\n Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2022\/04\/cybercriminals-using-new-malware-loader.html<\/a>\u00a0 (Autor: <\/a><\/div>\n