El mundo en constante evolución de la ciberseguridad ha dado lugar a una nueva amenaza llamada malware BumbleBee. Es una herramienta peligrosa utilizada por bandas de ransomware para infiltrarse en redes y lanzar ataques. Descubierto inicialmente en abril de 2022, se cree que el malware fue creado por el equipo de Conti para reemplazar la puerta trasera BazarLoader.
Se encontró una versión reciente del malware BumbleBee en la naturaleza, con una cadena de ataque más sigilosa que utiliza el marco PowerSploit para la reflexión. DLL inyección en la memoria.
Esto permite que el malware se cargue en la memoria sin ser detectado por el software antivirus existente, lo que dificulta su detección y prevención.
El malware BumbleBee se distribuye a través del envenenamiento de SEO
Los investigadores de Secureworks descubrieron una nueva campaña que promueve versiones troyanizadas de aplicaciones populares y entrega el malware BumbleBee a víctimas desprevenidas a través de anuncios de Google. Los anuncios promocionan software como Zoom, Cisco AnyConnect, ChatGPT y Citrix Workspace, redirigiendo a los usuarios a páginas de descarga falsas que les piden que descarguen una versión troyana del software.
El 16 de febrero de 2023 se creó y alojó una página de descarga falsa de Cisco AnyConnect Secure Mobility Client en el dominio “appcisco.com”, según SecureWorks. Los usuarios fueron dirigidos a esta página a través de un sitio de WordPress comprometido por un anuncio malicioso de Google. La página de inicio falsa anunciaba un instalador MSI troyanizado llamado “cisco-anyconnect-4 9 0195.msi”, que instala el malware BumbleBee.
Cuando el usuario ejecuta el instalador, se copia en su computadora una copia del programa de instalación legítimo y un script de PowerShell con un nombre engañoso (cisco2.ps1). El instalador legítimo de AnyConnect instala la aplicación en el dispositivo para evitar sospechas, mientras que el script de PowerShell instala el malware BumbleBee y realiza actividades maliciosas en el dispositivo comprometido.
El virus BumbleBee está dirigido a usuarios corporativos
Los usuarios corporativos son los principales objetivos de este software troyano, lo que hace que los dispositivos infectados sean los principales objetivos para el comienzo de los ataques de ransomware. Secureworks descubrió otros paquetes de software con pares de archivos con nombres similares, como ZoomInstalador.exe y Zoom.ps1, ChatGPT.msi, y chch.ps1y Aplicación Citrix Workspace.exe y Citrix.ps1.
Secureworks investigó un ataque reciente de BumbleBee y descubrió que el actor de amenazas usó su acceso al sistema comprometido para moverse lateralmente en la red tres horas después de la infección inicial.
Los atacantes emplearon una variedad de herramientas, incluida la suite de pruebas de penetración Cobalt Strike, las herramientas de acceso remoto AnyDesk y DameWare, utilidades de escaneo de red, un volcador de bases de datos AD y un ladrón de credenciales Kerberos.
Este arsenal crea un perfil de ataque que sugiere que los operadores de malware están interesados en identificar puntos de red vulnerables, pasar a otras máquinas, filtrar datos y, finalmente, implementar ransomware. Los usuarios corporativos deben tomar precauciones para proteger sus redes de este tipo de ataques.
Casos anteriores de piratas informáticos que utilizan Google Ads
Los ciberdelincuentes han utilizado Anuncios de Google durante años para propagar malware y lanzar ataques de phishing. Google eliminó más de 2700 millones de anuncios malos en 2020 y bloqueó 1,2 millones de cuentas de anunciantes por infringir sus políticas. Entre ellos se encontraban anuncios de distribución de malware, phishing y estafas.
En un caso notable de 2019, los ciberdelincuentes usaron Google Ads para promocionar extensiones falsas de Ledger Live Chrome que robaron las criptomonedas de los usuarios. Del mismo modo, en 2017, los ciberdelincuentes utilizaron Google Ads para promocionar una versión infectada con malware de la popular aplicación de mensajería WhatsApp.
Estos ejemplos demuestran que los ciberdelincuentes no solo utilizan métodos sofisticados, sino también canales publicitarios legítimos para distribuir malware y realizar ataques de phishing. A medida que más personas trabajan de forma remota y confían en las aplicaciones de software para colaborar, las personas y las organizaciones deben permanecer atentas y conscientes de los riesgos asociados con la descarga e instalación de software de fuentes no confiables.
Si está interesado en la seguridad, le sugerimos que consulte los ataques de phishing de Twitter: los efectos secundarios inesperados de la tarifa de verificación o el ataque DDoS de Battle net down explicado (11 de octubre).
