ven. Sep 30th, 2022

Le chargeur de logiciels malveillants Bumblebee, qui est nouveau depuis mars, est constamment développé par les développeurs de logiciels malveillants.

Le programme Bumblebee est un chargeur de logiciels malveillants. Autrement dit, il est utilisé pour s’introduire dans un système et installer des logiciels malveillants. Il est connu depuis mars 2022 et porte le nom de l’agent utilisateur « bumblebee ». Jusqu’à présent, le chargeur de logiciels malveillants était introduit clandestinement à l’aide de documents fournis avec des macros. Étant donné que Microsoft bloque désormais toutes les macros par défaut, les développeurs de logiciels malveillants ont modifié le mode d’infiltration du système, mais l’approche générale reste la même.

Diffusion de Bumblebee via le spear phishing

Comme beaucoup d’autres logiciels malveillants, Bumblebee est distribué via des e-mails de phishing et, plus spécifiquement, la méthode de la campagne de spear phishing est utilisée. L’attaquant envoie des e-mails ciblés et supposés dignes de confiance à des individus ou à des organisations. Vous trouverez ci-joint un document ou un programme qui, une fois ouvert, installe également le chargeur de logiciels malveillants. L’important est que ces e-mails semblent dignes de confiance afin que le destinataire puisse les accepter.

Changement de vecteur d’attaque

À l’origine, Bumblebee utilisait des macros pour l’infiltration. Cependant, depuis que Microsoft a fait le changement, les développeurs de logiciels malveillants ont changé d’avis. Vous utilisez maintenant un fichier ISO qui contient une DLL. Cela contourne les verrous précédents. La première exécution est effectuée par la victime elle-même en déballant l’archive, en montant le fichier ISO et en cliquant sur le raccourci Windows (LNK).
Après cela, des frameworks comme Cobalt Strike, Shellcode, Silver, Meterpreter ou autres sont installés sur le système attaqué à l’aide de Bumblebee. Ces cadres permettent à l’attaquant de se déplacer latéralement dans le système, et l’attaquant peut accéder au système à l’aide d’un logiciel de bureau à distance.
L’attaquant vise à obtenir des données utilisateur afin de se faire passer pour un utilisateur sur le système. Cela permet d’accéder à des fichiers autrement protégés et à des composants pertinents pour le système tels que le service Active Directory (ADS).

Voir aussi  BlueHornet : un chercheur en sécurité pirate TikTok

Pour l’article original voir ici :
https://bit.ly/3Aa5nE5
et pour des informations générales et des nouvelles sur Bumblebee, ce lien est utile :
https://bit.ly/3K7CX1R

Quelques notes sur les attaques de phishing :

  • ouvrir uniquement les e-mails de confiance vérifiés
  • Ne téléchargez pas de logiciels à partir de sites Web inconnus
  • à l’aide d’un bac à sable ou d’un environnement virtuel
  • Blocage des URL (à l’échelle de l’entreprise) susceptibles de propager des logiciels malveillants
  • Sécuriser et protéger les données et les fichiers