Il loader noto come Bumblebee è tornato dalla sua “vacanza estiva” facendosi rivedere dopo due mesi di inattività.
La nuova campagna che sfrutta questo agente malevolo agisce però in modo diverso rispetto al passato. In questa occasione, infatti, il malware sfrutta tecniche di distribuzione che abusano dei servizi WebDAV e 4shared. In passato, lo stesso Bumblebee è divenuto molto noto tra gli esperti informatici in quanto sfruttato da gruppi di ransomware come Conti e Akira.
WebDAV (Web Distributed Authoring and Versioning) è un’estensione del protocollo HTTP che consente ai client di eseguire operazioni remote come creazione, accesso, aggiornamento ed eliminazione del contenuto di server Web.
I ricercatori di Intel471 riferiscono che l’ultima campagna di Bumblebee, iniziata il 7 settembre 2023, abusa dei servizi WebDAV 4shared per distribuire il proprio loader e svolgere tutte le attività legate all’infezione. L’abuso della piattaforma 4shared, un legittimo e fornitore di servizi file hosting, aiuta gli operatori dietro al malware a eludere le blocklist e operare in totale libertà.
Bumblebee torna dalle vacanze proponendo una nuova e temibile tecnica di infezione
Allo stesso tempo, il protocollo WebDAV offre diversi modi per aggirare i sistemi di rilevamento basati sull’analisi dei comportamenti anomali e l’ulteriore vantaggio di una distribuzione semplificata.
L’attuale campagna Bumblebee si basa su e-mail di spam che fingono di essere fatture e varie notifiche finanziarie con tanto di allegati dannosi.
La maggior parte di quest’ultimi sono file LNK, ma vi sono anche alcuni archivi ZIP contenenti file LNK. Per gli esperti, questa varietà di allegati dimostra come i cybercriminali stiano sperimentando diverse soluzioni per affinare la campagna.
L’apertura del file LNK avvia una serie di comandi sul computer della vittima, a partire da uno per caricare una cartella WebDAV su un’unità di rete utilizzando credenziali hardcoded per un account di archiviazione 4shared.
Intel471 riferisce di aver notato come gli autori della minaccia stiano sperimentando diversi metodi per rubare informazioni e file dai computer compromessi, sfruttando proprio la cartella WebDAV per accumulare dati.