Phần mềm độc hại Bumblebee nhắm mục tiêu đến doanh nghiệp được phân phối thông qua Quảng cáo Google và đầu độc SEO nhằm quảng bá phần mềm phổ biến như Zoom, Cisco AnyConnect, ChatGPT và Citrix Workspace.
Bumblebee là một trình tải phần mềm độc hại được phát hiện vào tháng 4 năm 2022, được cho là do nhóm Conti phát triển để thay thế cho cửa hậu BazarLoader, được sử dụng để giành quyền truy cập ban đầu vào mạng và tiến hành các cuộc tấn công bằng mã độc tống tiền.
Vào tháng 9 năm 2022, một phiên bản mới của trình tải phần mềm độc hại đã được quan sát thấy ngoài thực tế, có chuỗi tấn công lén lút hơn sử dụng khung PowerSploit để đưa DLL phản chiếu vào bộ nhớ.
Các nhà nghiên cứu tại Secureworks gần đây đã phát hiện ra một chiến dịch mới sử dụng các quảng cáo của Google để quảng bá các phiên bản bị nhiễm trojan của các ứng dụng phổ biến nhằm cung cấp trình tải phần mềm độc hại cho các nạn nhân nhẹ dạ.
Một trong những chiến dịch mà SecureWorks nhìn thấy đã bắt đầu với một quảng cáo của Google đã quảng bá trang tải xuống ứng dụng khách di động an toàn Cisco AnyConnect giả mạo được tạo vào ngày 16 tháng 2 năm 2023 và được lưu trữ trên miền "appcisco[.]com".
Báo cáo của SecureWorks giải thích: "Chuỗi lây nhiễm bắt đầu bằng Quảng cáo Google độc hại đã gửi người dùng đến trang tải xuống giả mạo này thông qua một trang web WordPress bị xâm nhập".
Cổng tải xuống phần mềm Cisco giả mạo
Trang đích giả mạo này đã quảng cáo trình cài đặt MSI bị trojan hóa có tên "cisco-anyconnect-4_9_0195.msi" cài đặt phần mềm độc hại BumbleBee.
Sau khi thực thi, một bản sao của trình cài đặt chương trình hợp pháp và tập lệnh PowerShell có tên gây nhầm lẫn (cisco2.ps1) sẽ được sao chép vào máy tính của người dùng.
Các tệp do MSI độc hại
CiscoSetup.exe là trình cài đặt hợp pháp cho AnyConnect, cài đặt ứng dụng trên thiết bị để tránh bị nghi ngờ.
Tuy nhiên, tập lệnh PowerScrip sẽ cài đặt phần mềm độc hại BumbleBee và tiến hành hoạt động độc hại trên thiết bị bị xâm nhập.
Secureworks giải thích: "Tập lệnh PowerShell chứa một lựa chọn các chức năng được đổi tên được sao chép từ tập lệnh PowerSploit ReflectivePEInjection.ps1".
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.