ClickCease El malware Bumblebee ataca a empresas estadounidenses con nuevos métodos

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

El malware Bumblebee ataca a empresas estadounidenses con nuevos métodos

Wajahat Raja

27 de febrero de 2024 - Equipo de expertos TuxCare

A informe reciente revelaba que, cuatro meses después de su repentina desaparición, el conocido malware Bumblebee ha vuelto a surgir y su objetivo son diferentes organizaciones con sede en Estados Unidos.

Se observó que varias organizaciones con sede en EE.UU. empezaron a recibir miles de correos electrónicos. El malware Bumblebee engaña a los usuarios enviándoles correos electrónicos, tematizados en mensajes de voz, que contienen URL de OneDrive.

En este artículo, vamos a cubrir todos los detalles de malware Bumblebee en EE.UU. y las técnicas empleadas por esta amenaza de ciberseguridad.

Amenazas detrás del malware Bumblebee

El malware Bumblebee saltó a la palestra por primera vez en marzo de 2022 y rápidamente saltó a la fama como cargador. Aunque los expertos en ciberseguridad no están seguros de quién desarrolló exactamente el malware Bumblebee, se cree que el sindicato Conti y TrickBot es el actor principal detrás del conocido malware utilizado para ejecutar cargas útiles de ransomware.

Después de su creación, el malware ha sido desplegado por los actores de amenazas de ciberseguridad que a menudo están asociados con BazaLoader e IcedID. Es importante saber aquí que los actores de amenazas de ciberseguridad implicados en el malware utilizaron macros VBA maliciosas en los documentos.

Método de ataque del malware Bumblebee

Las anteriores técnicas de ataque del malware Bumblebee utilizaban el Web Distributed Authoring and Versioning (WebDAV) (WebDAV). WebDAV proporcionaba una forma inteligente para que los actores de la ciberamenaza entraran en el sistema de la víctima. Las campañas anteriores enviaban archivos comprimidos a los usuarios a través del correo electrónico.

Escrito en lenguaje de programación Cel malware facilita la ejecución de cargas útiles adicionales en un dispositivo, como Silver, Shellcode y Cobalt Strike. Coincidiendo con la reaparición de PikaBot, ZLoader y QakBot, el malware malware Bumblebee incluye el envío a las organizaciones de correos electrónicos que contienen enlaces a URL de OneDrive.

Estos correos electrónicos suelen ser de temática de buzón de voz. Las URL dirigen al usuario a un documento de Microsoft Word habilitado para macros que, al abrirse, lanza un comando PowerShell aprovechando VBA. A continuación, un servidor remoto inicia otro script PowerShell, que finalmente ejecuta el malware.

El QakBot se propaga como archivos Microsoft Software Installer (MSI). Se trata de un archivo Windows.cab (Cabinet) que contiene DLL. Este DLL se extrae y se ejecuta utilizando shellcode por el archivo MSI. 

Un peligro inminente

Como se mencionó anteriormente, el malware es utilizado por los mismos actores de amenazas que utilizaban BazaLoader anteriormente. Esta es una señal preocupante porque indica que estos actores de amenazas de ciberseguridad tienen acceso a una fuente común que les proporciona el malware.

Conclusión

La reaparición del malware Bumblebee que ataca a organizaciociones en Estados Unidos es una señal alarmante. Además, el uso de métodos de ataque avanzados dificulta su detección por los expertos en ciberseguridad.

Urge desplegar medidas de ciberseguridad medidas de ciberseguridad para protegerse contra Bumblebee. Si no se aborda adecuadamente, la presencia del malware en Estados Unidos significará que las organizaciones nunca estarán a salvo de esta nueva oleada de ciberataques.

Las fuentes de este artículo incluyen artículos en The Hacker News y TechRadar Pro.

Resumen
El malware Bumblebee ataca a empresas estadounidenses con nuevos métodos
Nombre del artículo
El malware Bumblebee ataca a empresas estadounidenses con nuevos métodos
Descripción
El malware Bumblebee ha vuelto para atacar a las empresas estadounidenses. Conozca aquí todos los detalles sobre los nuevos métodos de ataque del malware Bumble.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín