Un grupo de investigadores ha identificado una serie de ataques maliciosos que propagan el malware Bumblebee para instalar ransomware en dispositivos de usuarios y de organizaciones, aprovechándose de páginas falsas de aplicaciones populares como Zoom o ChatGPT, divulgadas a través de anuncios infectados en línea de Google.
Bumblebee es un programa malicioso que los ciberdelincuentes utilizan como una herramienta de carga de ransomware en los dispositivos de usuarios, es decir, una forma de secuestro de datos que, normalmente, es distribuido a través de ataques de phishing. En concreto, Bumblebee es un reemplazo del malware conocido como BazarLoader.
En este marco, investigadores de SecureWorks han identificado varios casos de ataques con el ‘malware’ Bumblebee recientes que, en esta ocasión, se difunden a través de anuncios infectados en línea, como los anuncios de Google, según han informado desde SecureWorks Counter Threat Unit (CTU) en un comunicado en su blog.
Cómo se distribuye el malware Bumblebee
En concreto, en las campañas de ataques que han identificado, los anuncios maliciosos estaban vinculados a aplicaciones populares a las que los usuarios recurren habitualmente como Cisco AnyConnect, Zoom o ChatGPT.
Así, los ciberdelincuentes utilizan este gancho para engañar a los usuarios que buscan instalar estos ‘softwares’ legítimos y, sin saberlo, instalan Bumblebee a través de páginas de descarga falsas que promueven estos anuncios maliciosos para, posteriormente, acceder a su sistema e implementar ‘ransomware’.
Uno de los ataques con Bumblebee analizado por los investigadores, que tuvo lugar en el mes de febrero, utilizaba una página falsa de Cisco AnyConnect.
Según explican, el ciberdelincuente creó esta página de descarga falsa de Cisco AnyConnect Secure Mobility a la que se accedía mediante un anuncio malicioso que se distribuía en los resultados de Google, y que enviaba a los usuarios a la página de descarga falsa a través de un sitio de WordPress comprometido.
En la página de descarga falsa se encuentra el archivo cisco-anyconnect-4_9_0195.msi, que es un instalador MSI (MIcrosoft Windows Installer). En él, se incluyen dos archivos más con el nombre FILE_InstallMeCisco y FILE_InstallMeExe, que se copian en la carpeta de instalación y se ejecutan.
El archivo FILE_InstallMeCisco es un instalador legítimo de la aplicación Cisco AnyConnect que instala la aplicación real en el dispositivo para hacer creer al usuario que se ha instalado la ‘app’ correctamente y sin peligros.
Sin embargo, el archivo FILE_InstallMeExe es un ‘script’ de PowerShell (una solución de automatización de tareas). Este último archivo incluye una carga útil de ‘malware’ Bumblebee codificada que se carga reflexivamente en la memoria del dispositivo, según han especificado los investigadores de CTU.
Una vez todo ello instalado, los actores maliciosos comenzaron a actuar alrededor de tres horas después de la infección y, entre otras acciones, desplegaron herramientas de acceso remoto como AnyDesk para controlar el dispositivo.
Asimismo, los ciberdelincuentes utilizaron otras herramientas para realizar ataques de Kerberoasting, que se aprovechan del protocolo de autenticación de redes del ordenador Kerberos para recolectar credenciales de la base de datos de Active Directory.
Los investigadores encontraron el mismo modus operandi en otros casos con instaladores de software y un nombre de script de PowerShell relacionados, como es el caso de Zoom, que utilizaba ZoomInstaller.exe y zoom.ps1, o ChatGPT, que utilizaba ChatGPT.msi y chch.ps1.
De cara a evitar estos ataques, los investigadores de CTU han recomendado a las organizaciones y a los usuarios revisar que los instaladores y las actualizaciones de los programas se descarguen únicamente de sitios web de confianza.
