Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
El malware Bumblebee ofrece una nueva cadena de infección
Obanla Opeyemi
22 de septiembre de 2022 - Equipo de expertos TuxCare
Los investigadores han descubierto una nueva versión del cargador de malware Bumblebee. La nueva cepa de malware ofrece una nueva cadena de infección, incluyendo el uso de un marco PowerScript para la inyección reflexiva sigilosa de una carga útil DLL en la memoria.
A diferencia del pasado, cuando llegaba a las víctimas a través de correos electrónicos que contenían archivos USO comprimidos y protegidos con contraseña, la nueva variante utiliza un archivo VHD (disco duro virtual) en lugar del archivo ISO. El nuevo archivo VHD contiene un archivo de acceso directo LNK.
En lugar de ejecutar Bumblebee (DLL) directamente, el LNK ejecuta ahora "imageda.ps1", que inicia una ventana de PowerShell y la oculta al usuario abusando del comando 'ShowWindow'. El script SP1 está ofuscado usando Base64 y concatenación de cadenas para evadir la detección AV mientras carga la segunda etapa del cargador PowerShell.
Para la segunda etapa de la infección, se utiliza una táctica de disfraz similar a la primera. Esta táctica incluye el módulo PowerShell que se utiliza para cargar el malware de 64 bits en la memoria del proceso PowerShell mediante inyección reflexiva.
"PowerSploit es un marco de post-explotación de código abierto en el que el malware utiliza un método, Invoke-ReflectivePEInjection, para cargar de forma reflexiva el DLL en el proceso PowerShell. Este método valida el archivo incrustado y realiza múltiples comprobaciones para asegurar que el archivo se carga correctamente en el sistema ejecutor", explica Cyble en el informe.
La nueva cadena de infección permite a Bumblebee cargarse desde la memoria y no tocar nunca el disco duro del ordenador, minimizando las posibilidades de ser detectado y detenido por las herramientas antivirus. El aumento de su sigilo también proporciona al cargador de malware una amenaza de acceso inicial más fuerte y aumenta sus posibilidades de atraer a los operadores de ransomware y malware.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
