Bumblebee, el cargador de malware y broker de acceso inicial, ha resurgido después de cuatro meses en una nueva campaña de phishing observada en febrero de 2024. La actividad está dirigida a organizaciones en los Estados Unidos con señuelos temáticos de correo de voz que contienen enlaces a URLs de OneDrive. La cadena de ataque se basa en documentos habilitados para macros en los archivos de Word. Al abrir el documento, se aprovechan macros VBA para lanzar un comando PowerShell y ejecutar otro script de PowerShell desde un servidor remoto, lo que permite la recuperación y ejecución del cargador Bumblebee.
Bumblebee ha sido utilizado por varios actores de amenazas criminales y ha sido desarrollado por los actores de amenazas del sindicato cibercriminal Conti y TrickBot como reemplazo de BazarLoader. En septiembre de 2023, Intel 471 reveló una campaña de distribución de Bumblebee que empleaba servidores Web Distributed Authoring and Versioning (WebDAV) para difundir el cargador. La dependencia de los documentos habilitados para macros en la cadena de ataque es notable, especialmente considerando que Microsoft comenzó a bloquear las macros en los archivos de Office descargados de Internet de manera predeterminada a partir de julio de 2022.
Además, otras variantes de QakBot, ZLoader y PikaBot han surgido en nuevas campañas de phishing. Los últimos artefactos de QakBot se han modificado para endurecer el cifrado utilizado para ocultar cadenas y otra información, incluido el uso de un malware crypter llamado DaveCrypter, lo que lo hace más difícil de analizar.
QakBot es el segundo malware más prevalente para enero de 2024, detrás de FakeUpdates (también conocido como SocGholish), pero por delante de otras familias como Formbook, Nanocore, AsyncRAT, Remcos RAT y Agent Tesla. La eliminación de la infraestructura de la botnet QakBot fue una victoria, pero los creadores del bot permanecen libres, y alguien que tiene acceso al código fuente original de QakBot ha estado experimentando con nuevas compilaciones.
Este desarrollo se produce cuando Malwarebytes reveló una nueva campaña en la que sitios de phishing que imitan a instituciones financieras como Barclays engañan a posibles objetivos para que descarguen software legítimo de escritorio remoto como AnyDesk. Los actores de amenazas pueden tomar el control de la máquina en última instancia.
Vía The Hacker News
