Eine neue Malware-Kampagne, die sich auf die Verteilung der Bumblebee-Malware konzentriert, wurde von Secureworks entdeckt.
Der Bumblebee-Trojaner ist eine hochentwickelte Malware, die hauptsächlich auf Unternehmensnetzwerke abzielt und von Ransomware-Gangs verwendet wird. Der Trojaner wird über Google Ads und SEO-Poisoning-Angriffe verbreitet, die beliebte Software wie Zoom, Cisco AnyConnect, ChatGPT und Citrix Workspace bewerben.
Die Malware-Kampagne beginnt mit einer Anzeige in Google Ads, die eine gefälschte Download-Seite für Cisco AnyConnect Secure Mobility Client bewirbt, die auf einer gefälschten Domain namens „appcisco[.]com“ gehostet ist. Sobald ein Benutzer auf die Anzeige klickt, wird er zu einer infizierten WordPress-Seite weitergeleitet, die eine gefälschte Download-Seite für Cisco AnyConnect Secure Mobility Client hostet. Dort wird ein bösartiger MSI-Installer namens „cisco-anyconnect-4_9_0195.msi“ angeboten, der den Bumblebee-Trojaner installiert.
Einmal ausgeführt, kopiert der Installer eine Version des legitimen Programminstallers und ein PowerShell-Skript namens „cisco2.ps1“ auf den Computer des Benutzers. Der legitime CiscoSetup.exe-Installer installiert die Anwendung auf dem Gerät, um keine Verdachtsmomente zu erregen. Das PowerShell-Skript installiert jedoch den Bumblebee-Trojaner und führt schädliche Aktivitäten auf dem infizierten Gerät aus.
Laut Secureworks wurde die Malware-Kampagne entwickelt, um eine möglichst geringe Entdeckungsrate zu haben, da Bumblebee den gleichen Post-Exploitation-Framework-Module wie Conti verwendet, um die Malware in den Speicher zu laden, ohne Alarme von bestehenden Antivirus-Produkten auszulösen.
Secureworks hat auch festgestellt, dass der Bumblebee-Trojaner die Eintrittskarte für Ransomware-Angriffe auf Unternehmensnetzwerke sein kann. Angreifer können Bumblebee nutzen, um späterale Bewegungen im Netzwerk durchzuführen und sich Zugang zu anderen Maschinen zu verschaffen, Daten zu exfiltrieren und letztendlich Ransomware zu deployen. In einem von Secureworks untersuchten Angriff haben die Angreifer in etwa drei Stunden nach der Infektion über den Bumblebee-Trojaner auf das Netzwerk zugegriffen und Tools wie Cobalt Strike, AnyDesk, DameWare und Netzwerk-Scanning-Utilities verwendet.
Schützen Sie Ihre Daten vor Bumblebee
Um sich gegen die Verbreitung des Bumblebee-Trojaners zu schützen, sollten Unternehmen und Privatpersonen vorsichtig sein, wenn sie auf Google-Anzeigen klicken oder unbekannte Software herunterladen. Es wird empfohlen, nur Software von vertrauenswürdigen Quellen herunterzuladen und sich vor dem Klicken auf Anzeigen zu vergewissern, dass sie von einer vertrauenswürdigen Quelle stammen.
Es ist auch ratsam, alle veralteten Software auf dem Computer oder Gerät auf den neuesten Stand zu bringen und eine Firewall sowie Antivirus-Software zu installieren und regelmäßig zu aktualisieren. Backups sollten regelmäßig erstellt und an einem sicheren Ort aufbewahrt werden.
Betroffen sind Unternehmen und Privatpersonen, die Google-Anzeigen nutzen oder unbekannte Software herunterladen. Insbesondere sollten Unternehmensnetzwerke mit einem hohen Risiko verbunden sein, da die Bedrohung auf die Kompromittierung des gesamten Netzwerks abzielt.
Quellen:
https://www.swisscybersecurity.net/cybersecurity/2023-04-24/in-harmlosen-anzeigen-steckt-eine-boesartige-hummel
https://www.bleepingcomputer.com/news/security/google-ads-push-bumblebee-malware-used-by-ransomware-gangs/
https://www.secureworks.com/blog/bumblebee-malware-loader-now-uses-powersploit
https://www.zdnet.com/article/bumblebee-malware-now-delivered-through-google-ads-and-seo-poisoning/
https://www.bleepingcomputer.com/news/security/google-ads-push-bumblebee-malware-used-by-ransomware-gangs/
Hinterlasse einen Kommentar