Investigadores han detectado ataques maliciosos que tienen como fin propagar un malware de nombre “Bumblebee” para instalar rasonware en dispositivos de usuarios y organizaciones, para ello se valen de páginas falsas de aplicaciones como Zoom o ChatGPT, divulgadas por anuncios infectados.
Investigadores e SecureWorks identificaron varios casos de ataques con “Bumblebee” recientes que en esta ocasión se difundieron a través de anuncios infectados en línea, como los de Google, de acuerdo con lo que dijo SecureWorks Counter Threat Unit en un comunicado que publicaron en su blog.
“Bumblebee” es un programa malicioso que se usa como una herramienta de carga de Razonware en los dispositivos de los usuarios. Es decir, una forma de “secuestro de datos” que normalmente es distribuido a través de ataques de phishing. “Bumblebee”, de acuerdo con lo que señala Europa Press, es un remplazo del malware conocido como BazarLoader.
Lo que se ha encontrado al respecto de la campaña de ataques es que los anuncios maliciosos estaban vinculados a aplicaciones populares como: Cisco AnyConnect, Zoom o ChatGPT. Así pues los ciberdelincuentes utilizan este gancho para engañar a los usuarios que buscarían instalar esos softwares y que sin saberlo instalan “Bumblebee” a través de páginas de descarga falsas que promueven estos anuncios maliciosos para que posteriormente acceder a su sistema e implementar el rasonware.
Uno de los casos investigados por los expertos tuvo lugar el mes de febrero, en el que se utilizaba una página falsa de Cisco AnyConnect (http: //appcisco. com/vpncleint/cisco-anyconnect-4_9_0195.msi). Detallan que el ciberdelincuente creó una página falsa de descarga de la aplicación Cisco AnyConnect Secure Mobility, a la cual se accedía a través de un anuncio malicioso que aparecía en los resultados de Google y que enviaba a los usuarios al sitio de descarga falso a través de una página de WordPress comprometida.
En el sitio web falso el usuario encuentra el archivo archivo cisco-anyconnect-4_9_0195.msi, un instalador MSI (Microsoft Windows Installer) en el cual vienen incluidos dos archivos más de nombres: FILE_InstallMeCisco y FILE_InstallMeExe, los cuales se copian en la carpeta de instalación y se ejecutan.
El primero es un instalador legítimo de la aplicación, esto busca que el usuario piense que ha instalado la aplicación correctamente y sin peligros.
Mientras que el archivo FILE_InstallMeExe es un script de PowerShell (una solución de automatización de tareas). Este incluye una carga útil del malware “Bumblebee” codificada que se carga reflexivamente en la memoria del dispositivo, de acuerdo con lo referido por los especialistas.
Ya instalados los actores maliciosos comenzarán a actuar luego de tres horas de la infección y entre otras acciones desplegarán herramientas de acceso remoto como AnyDesk, con el que controlarán el dispositivo.
Los delincuentes también usaron otras herramientas para realizar ataques de Kerberoasting, los cuales se aprovechan del protocolo de autenticación de redes del ordenador Kerberos para recolectar credenciales de la base de datos de Active Directory.
Los especialistas encontraron el mismo modus operandi en el caso de otros instaladores y un script PowerShell relacionados a Zoom (ZoomInstaller.exe y zoom.ps1) y ChatGPT (ChatGPT.msi y chch.ps1). Es por eso que han recomendado que se verifique bien el sitio del que se va a realizar la descarga de un programa.
Fuente: Europa Press.