Il ritorno di Bumblebee
Negli ultimi mesi, il panorama delle minacce informatiche ha subito un’evoluzione preoccupante. A distanza di quasi cinque mesi dall’operazione Endgame di Europol, i ricercatori di Netskope hanno identificato nuovi attacchi orchestrati tramite Bumblebee, un loader noto per la sua capacità di infiltrarsi nelle reti aziendali e installare malware aggiuntivo. Questo scenario mette in evidenza come le operazioni delle forze dell’ordine, sebbene efficaci nel breve termine, non riescano a fermare l’inarrestabile avanzata dei cybercriminali.
La catena di infezione
Il modus operandi di Bumblebee inizia con l’invio di email di phishing contenenti un archivio ZIP allegato. All’interno di questo archivio si trova un file LNK, che, una volta eseguito, sfrutta PowerShell per scaricare un file MSI da un server remoto.
Questo file, apparentemente innocuo, viene copiato su disco con un nome diverso e avviato automaticamente, senza alcuna interazione da parte dell’utente. Spesso, il file MSI si presenta come un installer di driver NVIDIA o Midjourney, rendendo difficile la sua identificazione come minaccia.
Meccanismi di evasione
Una volta avviato, l’installer utilizza strumenti di Windows per caricare in memoria una DLL, che è il vero cuore del malware, ovvero Bumblebee. Per evitare di generare nuovi processi che potrebbero sollevare sospetti, il malware sfrutta la tabella SelfReg all’interno della struttura MSI. Questo approccio consente alla DLL di essere caricata nello spazio di indirizzi del processo msiexec, rendendo l’attività meno visibile agli strumenti di sicurezza. Inoltre, la configurazione di Bumblebee viene decifrata tramite una chiave RC4 presente nel codice, aumentando ulteriormente la sua capacità di eludere i controlli di sicurezza.
Nonostante i dettagli sui malware distribuiti da Bumblebee non siano stati divulgati, è noto che in passato è stato utilizzato per installare strumenti come Cobalt Strike, info-stealer e vari ransomware. La scoperta di Netskope sottolinea l’importanza di rimanere vigili e aggiornati sulle minacce informatiche, poiché i cybercriminali sono in grado di adattarsi rapidamente e ripristinare le loro operazioni anche dopo interventi delle forze dell’ordine.
