Posted by Pemuat malware dan broker akses awal terkenal yang dikenal sebagai Bumblebee telah muncul kembali setelah absen selama empat bulan sebagai bagian dari kampanye phishing baru yang diamati pada Februari 2024.
Perusahaan keamanan perusahaan Proofpoint mengatakan aktivitas tersebut menargetkan organisasi di AS dengan umpan bertema pesan suara yang berisi tautan ke URL OneDrive.
“URL tersebut mengarah ke file Word dengan nama seperti “ReleaseEvans#96.docm” (digit sebelum ekstensi file bervariasi),” kata perusahaan itu dalam laporan Selasa. “Dokumen Word memalsukan perusahaan elektronik konsumen, Humane.”
Membuka dokumen memanfaatkan makro VBA untuk meluncurkan perintah PowerShell guna mengunduh dan menjalankan skrip PowerShell lain dari server jarak jauh yang, pada gilirannya, mengambil dan menjalankan pemuat Bumblebee.
Bumblebee, pertama kali terlihat pada Maret 2022, terutama dirancang untuk mengunduh dan mengeksekusi muatan lanjutan seperti ransomware. Ini telah dimanfaatkan oleh beberapa pelaku ancaman kejahatan yang sebelumnya mengamati pengiriman BazaLoader (alias BazarLoader) dan IcedID.
Ini juga diduga dikembangkan oleh pelaku ancaman sindikat kejahatan dunia maya Conti dan TrickBot sebagai pengganti BazarLoader. Pada bulan September 2023, Intel 471 mengungkapkan kampanye distribusi Bumblebee yang menggunakan server Web Distributed Authoring and Versioning (WebDAV) untuk menyebarkan loader.
Rantai serangan ini terkenal karena ketergantungannya pada dokumen yang mendukung makro dalam rantai serangan, terutama mengingat Microsoft mulai memblokir makro dalam file Office yang diunduh dari internet secara default mulai Juli 2022, sehingga mendorong pelaku ancaman untuk memodifikasi dan mendiversifikasi pendekatan mereka .
Serangan berbasis makro juga sangat berbeda dari kampanye pra-jeda di mana email phishing datang dengan file LNK zip yang berisi file executable Bumblebee atau lampiran HTML yang memanfaatkan penyelundupan HTML untuk menjatuhkan file RAR, yang mengeksploitasi kelemahan WinRAR yang dilacak sebagai CVE-2023 -38831 untuk menginstal pemuat.
Kembalinya Bumblebee juga bertepatan dengan kemunculan kembali varian baru QakBot , ZLoader , dan PikaBot , dengan sampel QakBot yang didistribusikan dalam bentuk file Microsoft Software Installer (MSI).
“.MSI menjatuhkan arsip Windows .cab (Kabinet), yang pada gilirannya berisi DLL,” kata perusahaan keamanan siber Sophos di Mastodon. “.MSI mengekstrak DLL dari .cab, dan mengeksekusinya menggunakan shellcode. Shellcode menyebabkan DLL menghasilkan salinan kedua dari dirinya sendiri dan memasukkan kode bot ke dalam ruang memori instance kedua.”
Artefak QakBot terbaru ditemukan memperkuat enkripsi yang digunakan untuk menyembunyikan string dan informasi lainnya, termasuk menggunakan malware crypter yang disebut DaveCrypter, sehingga lebih sulit untuk dianalisis. Generasi baru ini juga mengembalikan kemampuan untuk mendeteksi apakah malware berjalan di dalam mesin virtual atau sandbox.
Modifikasi penting lainnya termasuk mengenkripsi semua komunikasi antara malware dan server command-and-control (C2) menggunakan AES-256, metode yang lebih kuat daripada yang digunakan dalam versi sebelum pembongkaran infrastruktur QakBot pada akhir Agustus 2023.
“Penghapusan infrastruktur botnet QakBot adalah sebuah kemenangan, namun pembuat bot tetap bebas, dan seseorang yang memiliki akses ke kode sumber asli QakBot telah bereksperimen dengan versi baru dan menguji varian terbaru ini,” Andrew Brandt, peneliti utama di Sophos X-Ops, kata.
“Salah satu perubahan yang paling menonjol melibatkan perubahan pada algoritma enkripsi yang digunakan bot untuk menyembunyikan konfigurasi default yang dikodekan ke dalam bot, sehingga lebih sulit bagi analis untuk melihat bagaimana malware tersebut beroperasi; para penyerang juga memulihkan fitur-fitur yang sebelumnya tidak digunakan lagi, seperti kesadaran mesin virtual (VM), dan mengujinya dalam versi baru ini.”
QakBot juga muncul sebagai malware paling umum kedua pada bulan Januari 2024, tertinggal di belakang FakeUpdates (alias SocGholish) tetapi mengungguli keluarga malware lain seperti Formbook, Nanocore, AsyncRAT, Remcos RAT, dan Agent Tesla.
Perkembangan ini terjadi ketika Malwarebytes mengungkapkan kampanye baru di mana situs phishing yang meniru lembaga keuangan seperti Barclays mengelabui target potensial agar mengunduh perangkat lunak desktop jarak jauh yang sah seperti AnyDesk untuk menyelesaikan masalah yang tidak ada dan pada akhirnya memungkinkan pelaku ancaman mendapatkan kendali atas mesin.