El equipo de investigación de Proofpoint ha alertado sobre la aparición de un nuevo downloader, conocido como Bumblebee, un sofisticado cargador de malware en constante desarrollo que está siendo utilizado como facilitador de acceso inicial para entregar cargas útiles como el ransomware. Desde el mes de marzo de 2022, al menos tres conocidos grupos de cibercriminales están utilizando el nuevo malware en diversas campañas, cuya actividad coinciden con la detallada en el blog del Grupo de Análisis de Amenazas de Google para la distribución de los ransomware Conti y Diavol.

Bumblebee es un sofisticado descargador que contiene comprobaciones de anti virtualización y que cuenta con una implementación única de las capacidades comunes de los descargadores, a pesar de ser un malware todavía en una etapa temprana de su desarrollo. El objetivo de Bumblebee es descargar y ejecutar cargas útiles adicionales. Los investigadores de Proofpoint han observado que Bumblebee descargaba Cobalt Strike, shellcode, Sliver y Meterpreter. El nombre del malware proviene del único User-Agent «bumblebee» utilizado en las primeras campañas.

“La aparición de Bumblebee en el panorama de las amenazas de crimeware y su aparente sustitución de BazaLoader demuestra la flexibilidad de los ciberdelincuentes para cambiar rápidamente su forma de operar adoptando nuevo malware”, comenta Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de Proofpoint. “Además, el malware es bastante sofisticado y demuestra estar en continuo desarrollo, mostrando nuevos métodos para evadir la detección”, precisa DeGrippo.

Bumblebee surge en el panorama de amenazas coincidiendo con la reciente desaparición de BazaLoader, una popular carga útil que facilita el seguimiento de los ataques, de los registros de actividad de amenazas de Proofpoint desde febrero de 2022. BazaLoader es un descargador de primera etapa que se identificó por primera vez en 2020 y que se ha asociado a campañas de ransomware de seguimiento, como Conti. Los investigadores de Proofpoint observaron inicialmente que BazaLoader era distribuido en gran volumen por un actor de amenazas que era conocido principalmente por distribuir el troyano bancario Trick.

El uso de Bumblebee por parte de múltiples grupos cibercriminales, el momento de su introducción en el panorama y los comportamientos descritos por los investigadores de Proofpoint pueden considerarse un cambio notable en el panorama de las amenazas cibercriminales. La compañía estima los grupos que usan Bumblebee pueden ser considerados facilitadores de acceso inicial, que se infiltran en objetivos importantes y luego venden el acceso a autores de ransomware.

Puedes encontrar todos los detalles técnicos del informe en el blog de Proofpoint.