Хакер #305. Многошаговые SQL-инъекции
Фальшивая реклама таких известных программ, как ChatGPT, Zoom и Citrix Workspace распространяет загрузчик малвари Bumblebee, который, как считают эксперты, был разработан хак-группой Conti на замену бэкдору BazarLoader.
Напомню, что впервые Bumblebee был обнаружен в апреле 2022 года. Как объясняли тогда исследователи, он представляет собой многофункциональный инструмент, который может использовать для начального доступа к сетям жертв и последующего развертывания других полезных нагрузок, включая шифровальщики.
Как теперь сообщили специалисты из компании Secureworks, недавно злоумышленники запустили новую кампанию по распространению Bumblebee. На этот раз они используют Google Ads, продвигая троянизированные версии разных популярных приложений.
К примеру, одна из кампаний начиналась с рекламы в Google, а затем приводила жертву на фальшивую страницу загрузки Cisco AnyConnect Secure Mobility Client, созданную 16 февраля 2023 года и размещенную в домене appcisco[.]com на скомпрометированном WordPress-сайте.
Вместо искомого софта на этом сайте пользователь получал вредоносный установщик MSI с именем cisco-anyconnect-4_9_0195.msi, устанавливавший Bumblebee. Дело в том, что наряду с настоящим AnyConnect установщик копировал на машину жертвы PowerShell-скрипт cisco2.ps1.
«Этот скрипт PowerShell содержит набор переименованных функций, скопированных из PowerSploit ReflectivePEInjection.ps1, — пишут исследователи. — Также он содержит закодированную полезную нагрузку Bumblebee, которую автоматически загружает в память».
Очевидно, что эта вредоносная кампания нацелена на корпоративных пользователей, а зараженные устройства становятся точками входа для вымогателей. Аналитики Secureworks внимательно изучила одну из таких атак Bumblebee и обнаружили, что злоумышленники использовали полученный доступ к скомпрометированной системе для бокового перемещения по сети организации уже через три часа после исходного заражения.