Bumblebee: il malware torna alla carica con una nuova tecnica

I ricercatori di sicurezza di Cyble hanno comunicato di aver da poco scoperto che Bumblebee, il malware sviluppato dal gruppo Conti al fine di sostituire BazarLoader, è tornato alla carica in una versione rinnovata e più "aggressiva" che presenta alcune modifiche rispetto a quella originale di aprile. La nuova variante è in grado di ottenere maggiore probabilità di successo durante gli attacchi, nel tentativo di evitare le protezioni di sicurezza.

Bumblebee: nuova versione distribuita tramite file VHD

Più nello specifico, Bumblebee viene distribuito tramite phishing, sfruttando un’immagine VHD (Virtual Hard Disk), invece che un file ISO come avveniva in precedenza, contenente un file LNK che viene eseguito come uno script PowerShell in background.

Il codice viene offuscato mediante Base64 e sfrutta la concatenazione delle stringhe per evitare la rilevazione da parte degli antivirus. Viene quindi eseguito il secondo stadio che adopera il modulo PowerSploit per caricare la DLL di Bumblebee nella memoria del processo PowerShell, mediante la tecnica nota con il nome di “reflective injection“.

Considerando che sul disco del computer non viene copiato nulla, Bumblebee dovrebbe essere in grado di passare inosservato all’analisi degli antivirus, ma per fortuna anche questa tecnica è stata scoperta, per cui per non incorrere in questa e in altre minacce informatiche è sempre bene equipaggiare i propri dispositivi con un buon software di protezione, come nel caso di Norton 360 Premium che viene proposto con uno sconto del 57% attivando l'abbonamento annuale e che consente di mettere in sicurezza un massimo di dieci computer, smartphone e tablet.