Los ciberdelincuentes actualizan permanentemente sus formas de ataque, y en muchos casos reversionan viejas técnicas. En esta ocasión, investigadores de la compañía de ciberseguridad SecureWorks han detectado la propagación del software malicioso Bumblebee, que identifican como un reemplazo del 'malware' conocido como BazarLoader.
Este último fue muy utilizado durante la pandemia y se distribuía a través de técnicas de phishing con temáticas vinculadas al COVID-19. BazarLoader fue clasificado como un troyano de puerta trasera/cargador, diseñado para abrir paso a otros software malignos, generalmente el ransomware RYUK.
La nueva campaña aprovecha las búsquedas de los usuarios de reconocidas aplicaciones como Cisco AnyConnect, Zoom o ChatGPT. Los ciberdelincuentes crean páginas falsas, desde donde las víctimas, sin saberlo, descargan un paquete de archivos, entre los que se encuentra Bumblebee.
Se trata de un software utilizado como loader o cargador de malware, cuyo objetivo es descargar y ejecutar otras cargas maliciosas en los equipos sin ser detectado. Concretamente, los ciberdelincuentes lo usan como herramienta de carga de ransomware en los dispositivos de usuarios, acción que normalmente se ejecutaba a través de ataques de phishing y ahora se ha difundido en una nueva variante: los anuncios de Google.
Otros informes recopilados por Bit life media señalan a Bumblebee como el nuevo componente favorito de los grupos de ransomware y podría estar relacionado con operaciones de Conti, Mountlocker y Quantum, según indican investigadores Symantec.
Análisis de un ataque
En un caso ocurrido en el mes de febrero, los analistas descubrieron que el hacker había creado una web falsa de Cisco AnyConnect (http: //appcisco. com/vpncleint/cisco-anyconnect-4_9_0195.msi), promocionada como anuncio de Google, que enviaba a los usuarios a una página de descarga fraudulenta a través de un sitio de WordPress comprometido.
Desde allí se bajaban dos archivos, el primero, “FILE_InstallMeCisco”, un instalador legítimo de la aplicación Cisco AnyConnect, que habilita la aplicación real en el dispositivo para hacer creer al usuario que se ha instalado la aplicación correctamente y sin peligros.
El segundo archivo, “FILE_InstallMeExe”, es un 'script' de PowerShell (una solución de automatización de tareas), que incluye una carga útil de Bumblebee codificada que se carga reflexivamente en la memoria del dispositivo, detallan los especialistas de SecureWorks.
Tres horas después de la infección, se identificó el uso de herramientas de acceso remoto como AnyDesk, que permiten controlar el dispositivo, para luego realizar ataques de Kerberoasting, que recolectan credenciales de acceso a la base de datos de Active Directory.
Para evitar este tipo de ataques es fundamental asegurarse de que los instaladores y las actualizaciones de los programas se descarguen únicamente de sitios web oficiales o de confianza. Y cuando se trata de ransomware, puede resultar de gran ayuda el uso de la autenticación multifactor en todas las cuentas para evitar que los atacantes consigan tener acceso a las redes. La rápida aplicación de parches de seguridad para evitar que los ciberdelincuentes exploten vulnerabilidades conocidas es también fundamental, además de mantener todos los sistemas y dispositivos actualizados.