El equipo de investigación de Proofpoint ha señalado la aparición de un nuevo descargador llamado Bumblebee, un sofisticado cargador de malware en continuo desarrollo que se utiliza como facilitador de acceso inicial para entregar cargas útiles como ransomware. Desde marzo de 2022, al menos tres grupos de ciberdelincuentes de alto perfil han estado utilizando el nuevo malware en una variedad de campañas consistentes con las detalladas en el blog del Grupo de Análisis de Amenazas de Google sobre la distribución del ransomware Conti y Diavol.
Bumblebee es un descargador sofisticado que incluye comprobaciones antivirtualización y tiene una implementación única de la funcionalidad de descarga genérica, aunque el malware aún se encuentra en las primeras etapas de desarrollo. El propósito de Bumblebee es descargar y ejecutar cargas útiles adicionales. Los investigadores de Proofpoint observaron que Bumblebee descargaba Cobalt Strike, shellcode, Sliver y Meterpreter. El nombre del malware proviene del agente de usuario único «abejorro» utilizado en la primera campaña.
“La aparición de Bumblebee en el panorama de las amenazas de crimeware y su aparente sustitución de BazaLoader demuestra la flexibilidad de los ciberdelincuentes para cambiar rápidamente su forma de operar adoptando nuevo malware”, comenta Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de Proofpoint. “Además, el malware es bastante sofisticado y demuestra estar en continuo desarrollo, mostrando nuevos métodos para evadir la detección”, precisa DeGrippo.
Bumblebee surge en el panorama de amenazas coincidiendo con la reciente desaparición de BazaLoader, una popular carga útil que facilita el seguimiento de los ataques, de los registros de actividad de amenazas de Proofpoint desde febrero de 2022. BazaLoader es un descargador de primera etapa que se identificó por primera vez en 2020 y que se ha asociado a campañas de ransomware de seguimiento, como Conti. Los investigadores de Proofpoint observaron inicialmente que BazaLoader era distribuido en gran volumen por un actor de amenazas que era conocido principalmente por distribuir el troyano bancario Trick.
El uso de Bumblebee por parte de múltiples grupos cibercriminales, el momento de su introducción en el panorama y los comportamientos descritos por los investigadores de Proofpoint pueden considerarse un cambio notable en el panorama de las amenazas cibercriminales. La compañía estima los grupos que usan Bumblebee pueden ser considerados facilitadores de acceso inicial, que se infiltran en objetivos importantes y luego venden el acceso a autores de ransomware.