• Home /

  • Ciberseguridad /

  • Bumblebee, el nuevo y sofisticado dowloader que sustituye a BazaLoader para entregar cargas útiles como el ransomware

Bumblebee, el nuevo y sofisticado dowloader que sustituye a BazaLoader para entregar cargas útiles como el ransomware

Proofpoint ha alertado sobre este nuevo dowloader, que está en desarrollo activo y ya han utilizado al menos tres grupos de ciberdelincuentes.

Guardar

Bugs como símbolo de malware
Bugs como símbolo de malware

La compañía de ciberseguridad Proofpoint ha alertado sobre el surgimiento de un nuevo y sofisticado cargador de malware, conocido como Bumblebee, cuya aparición coincide con la reciente desaparición de BazaLoader, otro downloader que se detectó por primera vez en febrero de 2020 y que ha sido asociado con grupos de ransomware como Conti y Diavol.

"La aparición de Bumblebee en el panorama de las amenazas de crimeware y su aparente sustitución de BazaLoader demuestra la flexibilidad de los ciberdelincuentes para cambiar rápidamente su forma de operar adoptando nuevo malware", ha afirmado Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de Proofpoint. "Además, el malware es bastante sofisticado y demuestra estar en continuo desarrollo, mostrando nuevos métodos para evadir la detección", ha apuntado DeGrippo.

Desde el mes de marzo de 2022, los investigadores de Proofpoint han descubierto que al menos tres conocidos grupos de cibercriminales han utilizado Bumblebee en diversas campañas, cuya actividad coincide con la reportada por el grupo de análisis de amenazas de Google en una entrada de su blog publicada el 17 de marzo.

Las principales claves de Bumblebee

La firma de ciberseguridad ha compartido sus hallazgos en un informe, en el que define a Bumblebee como un sofisticado downloader que contiene comprobaciones de anti virtualización y que cuenta con una implementación única de las capacidades comunes de los descargadores, a pesar de ser un malware todavía en una etapa temprana de su desarrollo.

Según indica, su objetivo es descargar y ejecutar cargas útiles adicionales, está siendo utilizado como facilitador de acceso inicial para entregar cargas útiles como el ransomware y también se ha usado para implementar malware como Cobalt Strike, Meterpreter o Sliver. Asimismo, advierte que está siendo distribuido en campañas de correo electrónico y que los ciberdelincuentes que utilizan esta ciberamenaza podrían ser considerados facilitadores de acceso inicial, es decir, grupos de hackers independientes que se infiltran en objetivos importantes y luego venden el acceso a actores de ransomware de seguimiento.

"Los actores de amenazas han utilizado múltiples técnicas para entregar Bumblebee. Si bien los señuelos, las técnicas de entrega y los nombres de archivo generalmente se personalizan para los diferentes actores de amenazas que distribuyen las campañas, Proofpoint observó varios puntos en común en todas las campañas, como el uso de archivos ISO que contienen archivos de acceso directo y DLL y un punto de entrada de DLL común utilizado por múltiples actores en la misma semana", señala el informe.

Escrito en C++, Bumblebee se condensa principalmente en una sola función responsable de la inicialización, el manejo de respuestas y el envío de solicitudes. A diferencia de la mayoría de programas maliciosos, su configuración está actualmente almacenada en texto sin formato, pero Proofpoint sospecha que es posible que en el futuro comience a emplear la ofuscación.

Una vez que se ejecuta en el dispositivo de la víctima, Bumblebee recopila información sobre el sistema y comienza a comunicarse con el servidor de comando y control (C&C). "A diferencia de la mayoría del malware que tiene un conjunto de módulos o cargas útiles que se devuelven inmediatamente al bot, parece que los actores detrás de este malware implementan manualmente las cargas útiles en Bumblebee, ya que pueden pasar varias horas antes de que reciba trabajos para ejecutar", indica el informe.

Proofpoint también atribuye al menos una de las campañas observadas a TA578, un actor de amenazas que anteriormente ha sido identificado en campañas de correo electrónico que contienen BazaLoader, Cobalt Strike, Ursnif, IcedID, KPOT Stealer y Buer Loader.