Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Bumblebee Malware bietet eine neue Infektionskette
22. September 2022. TuxCare PR Team
Forscher haben eine neue Version des Bumblebee-Malware-Loaders entdeckt. Der neue Malware-Stamm bietet eine neue Infektionskette, einschließlich der Verwendung eines PowerScript-Frameworks für die heimliche, reflektierende Injektion einer DLL-Nutzlast in den Speicher.
Anders als in der Vergangenheit, als er seine Opfer über E-Mails mit passwortgeschützten gezippten USO-Dateien erreichte, verwendet die neue Variante eine VHD-Datei (Virtual Hard Disk) anstelle der ISO-Datei. Die neue VHD-Datei enthält eine LNK-Verknüpfungsdatei.
Anstatt Bumblebee (DLL) direkt auszuführen, führt das LNK nun "imageda.ps1" aus, das ein PowerShell-Fenster startet und es vor dem Benutzer versteckt, indem es den Befehl "ShowWindow" missbraucht. Das SP1-Skript ist mit Base64 und Stringverkettung verschleiert, um die AV-Erkennung zu umgehen, während es die zweite Stufe des PowerShell-Laders lädt.
In der zweiten Phase der Infektion wird eine ähnliche Verschleierungstaktik wie in der ersten verwendet. Diese Taktik umfasst das PowerShell-Modul, mit dem die 64-Bit-Malware durch reflektierende Injektion in den Speicher des PowerShell-Prozesses geladen wird.
"PowerSploit ist ein quelloffenes Post-Exploitation-Framework, in dem die Malware eine Methode, Invoke-ReflectivePEInjection, zum reflektiven Laden der DLL in den PowerShell-Prozess verwendet. Diese Methode validiert die eingebettete Datei und führt mehrere Prüfungen durch, um sicherzustellen, dass die Datei auf dem ausführenden System ordnungsgemäß geladen wird", erklärt Cyble in dem Bericht.
Die neue Infektionskette ermöglicht es Bumblebee, sich aus dem Speicher zu laden und die Festplatte des Computers nicht zu berühren, wodurch die Wahrscheinlichkeit, von Antiviren-Tools entdeckt und gestoppt zu werden, minimiert wird. Die Erhöhung der Heimlichkeit bietet dem Malware-Loader auch eine stärkere anfängliche Zugriffsbedrohung und erhöht seine Chancen, Ransomware- und Malware-Betreiber zu verführen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
