in

Nuove minacce informatiche: Bumblebee torna in azione

Dopo l'operazione di Europol, Bumblebee si evolve e lancia nuovi attacchi informatici.

?attachment id=53320

Il ritorno di Bumblebee

Negli ultimi mesi, il panorama delle minacce informatiche ha subito un’evoluzione preoccupante. A distanza di quasi cinque mesi dall’operazione Endgame di Europol, i ricercatori di Netskope hanno identificato nuovi attacchi orchestrati tramite Bumblebee, un loader noto per la sua capacità di infiltrarsi nelle reti aziendali e installare malware aggiuntivo. Questo scenario mette in evidenza come le operazioni delle forze dell’ordine, sebbene efficaci nel breve termine, non riescano a fermare l’inarrestabile avanzata dei cybercriminali.

La catena di infezione

Il modus operandi di Bumblebee inizia con l’invio di email di phishing contenenti un archivio ZIP allegato. All’interno di questo archivio si trova un file LNK, che, una volta eseguito, sfrutta PowerShell per scaricare un file MSI da un server remoto.

Questo file, apparentemente innocuo, viene copiato su disco con un nome diverso e avviato automaticamente, senza alcuna interazione da parte dell’utente. Spesso, il file MSI si presenta come un installer di driver NVIDIA o Midjourney, rendendo difficile la sua identificazione come minaccia.

Meccanismi di evasione

Una volta avviato, l’installer utilizza strumenti di Windows per caricare in memoria una DLL, che è il vero cuore del malware, ovvero Bumblebee. Per evitare di generare nuovi processi che potrebbero sollevare sospetti, il malware sfrutta la tabella SelfReg all’interno della struttura MSI. Questo approccio consente alla DLL di essere caricata nello spazio di indirizzi del processo msiexec, rendendo l’attività meno visibile agli strumenti di sicurezza. Inoltre, la configurazione di Bumblebee viene decifrata tramite una chiave RC4 presente nel codice, aumentando ulteriormente la sua capacità di eludere i controlli di sicurezza.

Nonostante i dettagli sui malware distribuiti da Bumblebee non siano stati divulgati, è noto che in passato è stato utilizzato per installare strumenti come Cobalt Strike, info-stealer e vari ransomware. La scoperta di Netskope sottolinea l’importanza di rimanere vigili e aggiornati sulle minacce informatiche, poiché i cybercriminali sono in grado di adattarsi rapidamente e ripristinare le loro operazioni anche dopo interventi delle forze dell’ordine.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

What do you think?

?attachment id=53317

Le migliori cantinette da vino economiche per ogni appassionato

?attachment id=53323

Controversia legale tra Apple e Masimo: brevetti e smartwatch in gioco