Le malware Bumblebee propose une nouvelle chaîne d'infection
Une nouvelle version du chargeur de malware Bumblebee a été découverte par des chercheurs. La nouvelle souche du malware offre une nouvelle chaîne d'infection, notamment l'utilisation d'un framework PowerScript pour l'injection furtive et réfléchie d'une charge utile DLL dans la mémoire.
Contrairement à ce qui se passait dans le passé, lorsqu'il atteignait les victimes par le biais d'e-mails contenant des fichiers zippés USO protégés par un mot de passe, la nouvelle variante utilise un fichier VHD (Virtual Hard Disk) à la place du fichier ISO. Le nouveau fichier VHD contient un fichier de raccourci LNK.
Au lieu d'exécuter directement Bumblebee (DLL), le LNK exécute maintenant "imageda.ps1", qui démarre une fenêtre PowerShell et la cache à l'utilisateur en abusant de la commande "ShowWindow". Le script SP1 est obscurci à l'aide de Base64 et de la concaténation de chaînes pour échapper à la détection des antivirus lors du chargement de la deuxième étape du chargeur PowerShell.
Pour la deuxième étape de l'infection, une tactique de déguisement similaire à la première est utilisée. Cette tactique inclut le module PowerShell qui est utilisé pour charger le malware 64 bits dans la mémoire du processus PowerShell par injection réfléchie.
"PowerSploit est un cadre de post-exploitation open source dans lequel le malware utilise une méthode, Invoke-ReflectivePEInjection, pour charger de manière réfléchie la DLL dans le processus PowerShell. Cette méthode valide le fichier intégré et effectue de multiples vérifications pour s'assurer que le fichier est chargé correctement sur le système d'exécution", explique Cyble dans le rapport.
La nouvelle chaîne d'infection permet à Bumblebee de se charger à partir de la mémoire et de ne jamais toucher le disque dur de l'ordinateur, minimisant ainsi les chances d'être détecté et arrêté par les outils antivirus. En augmentant sa furtivité, le chargeur de logiciels malveillants présente également une menace d'accès initial plus forte et augmente ses chances d'attirer les opérateurs de ransomware et de logiciels malveillants.
Les sources de cet article comprennent un article de BleepingComputer.