• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Bumblebee: nuevo loader de malware en transformación

Bumblebee: nuevo loader de malware en transformación

4 mayo, 2022 Por Antonio Tascón Dejar un comentario

Desde marzo del presente año, los investigadores de Proofpoint vienen detectando un nuevo loader de malware. Bumblebee, que toma su nombre del user-agent empleado en sus inicios, es usado por los mismos actores maliciosos que previamente usaban BazarLoader o IcedID.

El inicio del desarrollo de Bumblebee parece coincidir con la identificación de la infraestructura de BazarLoader. Dicha identificación se produjo a consecuencia de los leaks de Conti a principios de año. Aunque el grupo parece tener relación con este nuevo loader, éste se usa principalmente cómo punto de acceso inicial a los sistemas objetivo.

Funcionamiento de Bumblebee

Bumblebee está escrito en C++, antes de inicializarse implementa tests para verificar que no existen herramientas de análisis que estén monitorizando librerías clave del sistema. Cuenta con técnicas de evasión avanzadas y anti virtualización.

A diferencia de otros loaders, en este caso la mayor parte de la funcionalidad se condensa en una sola función. Inicialmente el malware copia la ID de grupo que lo identificará en la botnet. A continuación el loader resuelve la dirección de varias funciones de sistema que le permitirán realizar la inyección más adelante.

Una vez recopilada toda la información necesaria, empieza el proceso de comunicación con el C2. A diferencia de otros malware más automatizados, el despliegue de instrucciones parece realizarse de forma manual. Bumblebee se comunica con el C2 cada 25 segundos para verificar si existen nuevos comandos. Se han observado instancias en las que pasan horas hasta que recibe el primero.

Los comandos que soporta actualmente son:

  • Shi, para la inyección de shellcode.
  • Dij, para inyectar DLLs en la memoria de otros procesos.
  • Dex, descarga y ejecución de ejecutables.
  • Sdl, desinstalación del loader.
  • Ins, consigue la persistencia copiando la DLL del loader en el sistema y creando una tarea para su instalación.

Estos comandos pueden ir variando, el equipo de Proofpoint ha verificado que al código de Bumblebee se está añadiendo nuevas funcionalidades, cómo más capas de tests anti virtualización y que detectan si el malware se está ejecutando en una sandbox.

Indicadores de compromiso (IOC):

c6ef53740f2011825dd531fc65d6eba92f87d0ed1b30207a9694c0218c10d6e0

a72538ba00dc95190d6919756ffce74f0b3cf60db387c6c9281a0dc892ded802

77f6cdf03ba70367c93ac194604175e2bd1239a29bc66da50b5754b7adbe8ae4

0faa970001791cb0013416177cefebb25fbff543859bd81536a3096ee8e79127

Fe7a64dad14fe240aa026e57615fc3a22a7f5ba1dd55d675b1d2072f6262a1

08CD6983F183EF65EABD073C01F137A913282504E2502AC34A1BE3E599AC386B

Más información:

https://www.proofpoint.com/us/blog/threat-insight/bumblebee-is-still-transforming

https://www.infosecurity-magazine.com/news/bumblebee-malware-loader-sting/

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Hacking redes WiFi

ESP 3

Archivado en: General

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Multa de hasta 1 millón de dólares por una mala gestión de ransomware
  • Cómo limitar el acceso a nuestros recursos en AWS con nuevas claves condicionales
  • Se ha descubierto como ejecutar malware en iPhone incluso cuando esté apagado
  • Algunos de los 100.000 sitios web más populares recogen todo lo que escribes
  • Un banco español es condenado a pagar a una clienta víctima de phishing

Entradas recientes

  • Entrevista a Miroslav Stampar, creador de SQLMap
  • Cómo limitar el acceso a nuestros recursos en AWS con nuevas claves condicionales
  • Multa de hasta 1 millón de dólares por una mala gestión de ransomware
  • Se ha descubierto como ejecutar malware en iPhone incluso cuando esté apagado
  • SonicWall corrige varias vulnerabilidades que afectan a los dispositivos SMA de la serie 1000
  • Algunos de los 100.000 sitios web más populares recogen todo lo que escribes
  • Empleados de empresas de fusiones y adquisiciones, nuevo «target» de los Ciberdelincuentes.
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Entrevista a Miroslav Stampar, creador de SQLMap
  • Cómo limitar el acceso a nuestros recursos en AWS con nuevas claves condicionales
  • Multa de hasta 1 millón de dólares por una mala gestión de ransomware
  • Se ha descubierto como ejecutar malware en iPhone incluso cuando esté apagado
  • SonicWall corrige varias vulnerabilidades que afectan a los dispositivos SMA de la serie 1000

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...