Google hirdetésekkel terjed a Bumblebee malware

A Secureworks kutatói nemrégiben egy új kampányt fedeztek fel, amely Google hirdetések segítségével népszerű alkalmazások trójai változatát népszerűsítik, annak érdekében, hogy a rosszindulatú programot eljuttassák a gyanútlan áldozatokhoz.

A Bumblebee egy 2022 áprilisában felfedezett malware loader, amelyet feltehetően a Conti-csoport fejlesztett ki a BazarLoader backdoor helyettesítésére. A főként vállalatokat célzó Bumblebee malware Google hirdetésekkel és keresőoptimalizálási csalással (SEO-poisoning) terjed. A hirdetésekkel olyan népszerű szoftverek rosszindulatú verzióit terjesztik, mint például a Zoom, a Cisco AnyConnect, a ChatGPT és a Citrix Workspace.

Népszerű alkalmazásokban való rejtőzködés

A SecureWorks által észlelt kampányok egyike egy Google-hirdetéssel kezdődött, amely egy hamis Cisco AnyConnect Secure Mobility Client letöltési oldalt népszerűsített. Ezt 2023. február 16-án hozták létre, és a “appcisco[.]com” domain-en volt elérhető.

“A rosszindulatú Google-hirdetéssel kezdődő kampány egy fertőzött WordPress webhelyen keresztül irányította át a felhasználót erre a hamis letöltési oldalra” – írja a SecureWorks jelentése.

Hamis Cisco szoftver letöltési portál (secureworks.com)

A képen látható hamis oldal egy “cisco-anyconnect-4_9_0195.msi” nevű trójai MSI telepítőt népszerűsített, amely mögött a BumbleBee malware található. Futtatást követően a felhasználó számítógépére letöltődik a legitim program telepítőjének másolata és egy megtévesztő nevű (cisco2.ps1) PowerShell szkript is.

A trójai vírussal fertőzött Cisco AnyConnect telepítő tartalmának átnevezése (secureworks.com)

Az AnyConnect hivatalos telepítője, a CiscoSetup.exe a gyanú elkerülése érdekében telepíti a hivatalos alkalmazást, emellett pedig, a PowerShell szkript telepíti a BumbleBee nevű malware-t is, hogy az további rosszindulatú tevékenységet végezzen a fertőzött eszközön.

“A PowerShell szkript tartalmazza a PowerSploit ReflectivePEInjection.ps1 szkriptből átnevezett funkciók egy részét, valamint egy kódolt Bumblebee malware payload-ot is, amelyet reflektív módon tölt be a memóriába.” – írja a Secureworks.

Ez azt jelenti, hogy a Bumblebee továbbra is ugyanazt a post-exploitation keretrendszert használja a rosszindulatú szoftver memóriába való betöltésére anélkül, hogy a vírusirtó termékek riasztást adnának.

A Secureworks más szoftvercsomagokat is talált hasonló nevű fájlpárokkal, mint például ZoomInstaller.exe és zoom.ps1, ChatGPT.msi és chch.ps1, valamint CitrixWorkspaceApp.exe és citrix.ps1.

Út a zsarolóprogramokhoz

Tekintettel arra, hogy a trójai szoftver a vállalati felhasználókat célozza, a fertőzött eszközök zsarolóvírus-támadásokra is alkalmasak lesznek.

A Secureworks alaposan megvizsgálta az egyik közelmúltbeli Bumblebee-támadást. Kutatásuk eredménye, hogy a fenyegetési szereplő kihasználta a megfertőzött rendszerhez való hozzáférést, hogy körülbelül három órával a kezdeti fertőzés után laterálisan mozogjon a hálózatban.

A támadók által a feltört környezetben bevetett eszközök között szerepelt a Cobalt Strike penteszt-csomag, az AnyDesk és a DameWare távoli hozzáférési eszközök, továbbá hálózatot vizsgáló segédprogramok, egy AD-adatbázis dumper és egy Kerberos hitelesítő adatok lopója.

Ezzel az arzenállal egy olyan támadási profilt hozhatnak létre a kiberbűnözők, amely érdekelté teheti a rosszindulatú szoftverek üzemeltetőit az elérhető hálózati pontok azonosításában, más gépekre való átirányításban, adatok kiszivárogtatásában és végül zsarolóprogramok telepítésében.

(bleepingcomputer.com)