Allerta cyber-sicurezza: ritorna il malware Bumblebee

Una nuova ondata di attacchi informatici che sfruttano il malware Bumblebee è stata rilevata appena quattro mesi dopo l'operazione "Endgame" di Europol

Avatar di Andrea Maiellano

a cura di Andrea Maiellano

Author

Una nuova ondata di attacchi informatici che sfruttano il malware Bumblebee è stata rilevata appena quattro mesi dopo l'operazione "Endgame" di Europol che ne aveva interrotto le attività a maggio. Il malware loader Bumblebee, attivo oramai da marzo 2022, è tornato a colpire nonostante gli sforzi delle forze dell'ordine internazionali.

La ricomparsa di Bumblebee rappresenta una seria minaccia per la sicurezza informatica globale. Questo malware è stato sviluppato dal gruppo TrickBot come sostituto del backdoor BazarLoader, con l'obiettivo di fornire accesso iniziale alle infrastrutture delle vittime durante attacchi ransomware. La sua capacità di eludere il rilevamento e condurre attività post-exploit lo rende particolarmente pericoloso.

Attualmente Bumblebee evita di creare nuovi processi, rendendolo più difficile da rilevare.

Le infezioni da Bumblebee iniziano tipicamente con l'esecuzione di file LNK da parte degli utenti. Il malware viene distribuito attraverso email di phishing contenenti allegati malevoli o link ad archivi infetti. Una volta eseguito, Bumblebee viene utilizzato per: aumentare i privilegi, effettuare ricognizione all'interno del dispositivo infettato e rubare credenziali e dati sensibili.

I ricercatori di Netskope hanno rilevato nuovi attacchi che sfruttano il Bumblebee Loader. L'infezione inizia probabilmente con una email di phishing contenente un file ZIP con un file LNK chiamato "Report-41952.lnk". Una volta eseguito, scarica il payload direttamente in memoria.

L'ultima versione di Bumblebee utilizza la tabella SelfReg dei file MSI per eseguire DLL malevole direttamente, senza generare nuovi processi. Ciò lo rende più furtivo rispetto alle versioni precedenti. Il malware decritta la sua configurazione usando una chiave RC4 hardcoded ("NEW_BLACK.").

Per contrastare questa minaccia, è fondamentale che le organizzazioni mantengano aggiornati i propri sistemi di sicurezza, formino i dipendenti sul riconoscimento delle email di phishing e implementino robuste politiche di segmentazione della rete.

Gli indicatori di compromissione (IoC) per questi attacchi sono stati pubblicati da Netskope su un repository GitHub, fornendo agli esperti di sicurezza strumenti preziosi per rilevare e mitigare potenziali infezioni.

La riemersione di Bumblebee mostra quanto temporanei siano i risultati ottenuti dagli sforzi coordinati delle forze dell'ordine internazionali, i gruppi di cyber-criminali, difatti, continuano ad adattare, e migliorare, i loro strumenti, rappresentando una sfida continua per la sicurezza digitale.

Leggi altri articoli