Säkerhetsforskare vid Proofpoint har upptäckt en mejlkampanj som används för att sprida en ny sorts malware, Bumblebee. I dagsläget används av minst tre välkända nätkriminella grupper, samtliga med kopplingar till bland annat tidigare ransomware-kampanjer. Bumblebee är i aktiv utveckling och använder etablerade tekniker för att förhindra upptäckt. Enligt Proofpoint levereras BumpleBee med flera tekniker som förhindrar att skadeprogrammet upptäcks.
Dessutom sammanfaller den plötsliga ökningen av Bumblebee med att BazaLoader – ett ökänt och välanvänt skadeprogram – nyligen försvann från Proofpoints lista över aktuella hot.
– Introduktionen av Bumblebee och att det så uppenbart ersätter BazaLoader visar på att nätkriminella är flexibla och snabba med att ta till sig ny skadlig programvara. Dessutom är det ett relativt sofistikerat skadeprogram som befinner sig i en pågående, aktiv utveckling och introducerar nya metoder för att undvika upptäckt, säger Sherrod DeGrippo, ansvarig för säkerhetsforskning på Proofpoint.
De första spåren av Bumblebee observerades under mars 2022 – då i form av en DocuSign-märkt e-postkampanj med två alternativa vägar utformade för att lura mottagaren att ladda ned en skadlig ISO-fil. Den första sökvägen började med att mottagaren klickade på hyperlänken "Granska Dokumentet" i e-postmeddelandets brödtext, och därefter uppmanades att ladda ned en ISO-fil från en OneDrive-länk.
Skadeprogrammet är designat för att angriparen ska få tillgång till system och installera fler malware-program. Bland annat används för BumbleBee för att installera Cobalt Strike, Shellcode, Sliver och Meterpreter.