Dopo una pausa di quattro mesi, il malware Bumblebee è tornato in azione, prendendo di mira migliaia di organizzazioni negli Stati Uniti attraverso campagne di phishing. Originariamente scoperto nell’aprile 2022, Bumblebee è noto per essere un loader di malware sviluppato presumibilmente dai sindacati del cybercrimine Conti e Trickbot come sostituto del backdoor BazarLoader.
Le campagne di phishing che diffondono Bumblebee mirano a rilasciare payload aggiuntivi sui dispositivi infetti, come i beacon di Cobalt Strike, per consentire l’accesso iniziale alla rete e condurre attacchi ransomware. L’attuale campagna osservata da Proofpoint segnala un potenziale aumento delle attività di cybercriminalità nel corso del 2024.
Tecniche di diffusione attraverso finte notifiche vocali
La nuova campagna di phishing sfrutta false notifiche vocali con l’oggetto “Voicemail February”, inviate da un indirizzo apparentemente legittimo. Le email contengono un URL di OneDrive che porta al download di un documento Word, il quale utilizza macro per creare e eseguire uno script nella cartella temporanea di Windows, innescando il download ed esecuzione del DLL di Bumblebee sul sistema della vittima.
L’uso di macro nei documenti è insolito e notevole, soprattutto dopo la decisione di Microsoft di bloccare le macro per impostazione predefinita nel 2022, rendendo più difficile per queste campagne ottenere successo. Le campagne precedenti di Bumblebee si affidavano a tecniche più moderne come download diretti di DLL, contrabbando HTML e sfruttamento di vulnerabilità per consegnare il payload finale.
Evoluzione e diversificazione delle Tecniche di Distribuzione
Le recenti tecniche di distribuzione di Bumblebee rappresentano una deviazione significativa dalle metodologie più moderne, potenzialmente mirate a evadere le difese dato che le macro VBAs sono ora meno comuni, o a colpire sistemi gravemente obsoleti. Bumblebee potrebbe anche essere in fase di test e diversificazione dei suoi metodi di distribuzione.
Impatto sul Mercato della distribuzione dei Payload
Bumblebee è generalmente noleggiato a cybercriminali che cercano di bypassare la fase di accesso iniziale e introdurre i loro payload in sistemi già compromessi. Sebbene non ci siano prove sufficienti per attribuire la recente campagna a gruppi di minacce specifici, Proofpoint la associa agli attori di minaccia che tracciano come TA579.
L’interruzione delle attività di QBot da parte delle autorità di contrasto ha creato un vuoto nel mercato della distribuzione dei payload, che altri malware stanno cercando di colmare. Casi notevoli includono DarkGate e Pikabot, loader di malware altamente capaci che ora guidano le infezioni attraverso più canali, tra cui phishing, malvertising e messaggi su Skype e Microsoft Teams.
Il ritorno delle attività del malware Bumblebee mette in evidenza l’incessante evoluzione e adattabilità delle minacce cyber, richiamando l’attenzione sulla necessità di vigilanza continua e misure di sicurezza robuste per difendersi da tali insidie e fare attenzione al Phishing.