Новости Вредонос Bumblebee стал распространяться через рекламу в Google

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.044
Репутация
11.695
Реакции
61.864
RUB
50
Фальшивая реклама таких известных программ, как ChatGPT, Zoom и Citrix Workspace распространяет загрузчик малвари Bumblebee, который, как считают эксперты, был разработан хак-группой Conti на замену бэкдору BazarLoader.


Напомню, что впервые Bumblebee был в апреле 2022 года. Как объясняли тогда исследователи, он представляет собой многофункциональный инструмент, который может использовать для начального доступа к сетям жертв и последующего развертывания других полезных нагрузок, включая шифровальщики.

Как теперь сообщили специалисты из компании , недавно злоумышленники запустили новую кампанию по распространению Bumblebee. На этот раз они используют Google Ads, продвигая троянизированные версии разных популярных приложений.

К примеру, одна из кампаний начиналась с рекламы в Google, а затем приводила жертву на фальшивую страницу загрузки Cisco AnyConnect Secure Mobility Client, созданную 16 февраля 2023 года и размещенную в домене appcisco[.]com на скомпрометированном WordPress-сайте.



Вместо искомого софта на этом сайте пользователь получал вредоносный установщик MSI с именем cisco-anyconnect-4_9_0195.msi, устанавливавший Bumblebee. Дело в том, что наряду с настоящим AnyConnect установщик копировал на машину жертвы PowerShell-скрипт cisco2.ps1.



«Этот скрипт PowerShell содержит набор переименованных функций, скопированных из PowerSploit ReflectivePEInjection.ps1, — пишут исследователи. — Также он содержит закодированную полезную нагрузку Bumblebee, которую автоматически загружает в память».

Очевидно, что эта вредоносная кампания нацелена на корпоративных пользователей, а зараженные устройства становятся точками входа для вымогателей. Аналитики Secureworks внимательно изучила одну из таких атак Bumblebee и обнаружили, что злоумышленники использовали полученный доступ к скомпрометированной системе для бокового перемещения по сети организации уже через три часа после исходного заражения.

 
Сверху Снизу