Phishing-Malware Bumblebee wurde verändert
Vor Kurzem wurde die Malware Bumblebee angepasst
Bildquelle: weerapat, Lizenz

Bumblebee: Malware-Loader jetzt auch in deiner Mail-Box

Der seit März neuartige Malware-Loader Bumblebee wird von Schadsoftware-Entwicklern stetig weiterentwickelt.

Das Programm Bumblebee ist ein Malware-Loader. Das bedeutet, es wird verwendet, um in ein System einzudringen und Schadsoftware zu installieren. Es ist seit März 2022 bekannt und trägt den Namen wegen des user-agent „bumblebee“. Bisher wurde der Malware-Loader mittels Dokumenten eingeschleust, welche mit Macros versehen waren. Da Microsoft jetzt jegliche Macros standardmäßig blockt, änderten die Schadsoftware-Entwickler die Art der Systeminfiltration, aber die generelle Vorgehensweise bleibt gleich.

Verbreitung von Bumblebee per Spear-Phishing

Bumblebee wird, wie viele andere Schadsoftware auch, per Phishing-Mails verbreitet und spezieller wird die Methode der Spear-Phishing Kampange verwendet. Dabei sendet der Angreifer gezielt, vermeintlich vertrauenswürdige Mails, an Individuen oder Organisationen. Im Anhang befindet sich ein Dokument oder Programm, welches beim Öffnen als Beigabe den Malware-Loader gleich mit installiert. Der wichtige Teil ist, dass diese Mails vertrauenswürdig erscheinen, damit diese auch vom Empfänger angenommen werden.

Änderung des Angriffsvektors

Ursprünglich nutzte Bumblebee für die Inilftration Macros. Seit der Änderung von Microsoft sind die Schadsoftware-Entwickler allerdings umgeschwenkt. Sie nutzen nun eine ISO Datei, welche ein DLL enthält. Dadurch werden bisherige Sperren umgangen. Die erste Ausführung tätigt das Opfer selbst, durch das Auspacken des Archivs, das Mounten der ISO Datei und das Anklicken des Windows Shortcuts (LNK).
Danach werden, mittels Bumblebee, Frameworks wie Cobalt Strike, Shellcode, Silver, Meterpreter oder andere auf dem angegriffenen System installiert. Diese Frameworks dienen dem Angreifer, sich lateral durch das System zu bewegen und den Zugriff auf das System erreicht der Angreifer per remote Desktop Software.
Dabei zielt der Angreifer auf das Erlangen von Nutzerdaten, um sich auf dem System als Nutzer auszugeben. Damit wird der Zugriff auf ansonsten geschützte Dateien und systemrelevante Bestandteile, wie der Active Dirextory Service (ADS) erreicht.

Für den englischsprachigen ursprünglichen Artikel schaut hier vorbei:
https://bit.ly/3Aa5nE5
und für generelle Infos und News zu Bumblebee ist dieser Link sinnvoll:
https://bit.ly/3K7CX1R

Ein paar Hinweise zu Phishing-Angriffen:

  • nur überprüfte vertrauenswürdige E-Mails öffnen
  • Keine Software von unbekannten Webseiten herunterladen
  • das Nutzen einer Sandbox oder virtuellen Umgebung
  • Das Blocken von URLs (firmenweit), welche Malware verbreiten können
  • Absichern und Schützen von Daten und Dateien

Tarnkappe.info