Bumblebee: новые методы заражения через поддельные загрузчики ПО

Bumblebee — это продвинутый вредоносный загрузчик из семейства программ-вымогателей Conti, который демонстрирует высокую адаптивность и эффективность в современных кибератаках. Недавняя кампания злоумышленников использует тщательно сымитированные веб-сайты и SEO-отравление, чтобы направлять пользователей на вредоносные дистрибутивы популярных программ, таких как WinMTR и Milestone XProtect.

Механизм атаки: поддельные сайты и SEO-отравление

Злоумышленники создают сайты, практически неотличимые от официальных ресурсов поставщиков программного обеспечения. Для этого регистрируются домены, визуально похожие на оригинальные, что вводит пользователей в заблуждение. Основные методы доставки вредоносного ПО включают:

• Фишинговые сообщения с ссылками на имитирующие сайты;
• SEO-отравление, позволяющее вредоносным сайтам занимать высокие позиции в поиске Bing;
• Использование троянских установщиков в формате MSI вместо привычных ZIP-архивов.

Пользователи, вводящие поисковые запросы «WinMTR download» или «Milestone XProtect download», с высокой вероятностью переходят на вредоносные сайты, визуально идентичные оригиналам, но предлагающие заражённые программные пакеты.

Технические детали вредоносной кампании

Вредоносный MSI-файл загружается не локально, а извлекается с удалённого ресурса software-server.online. В процессе работы установщик вызывает msiexec.exe для инсталляции как легитимного программного обеспечения, так и вредоносных компонентов.

• Легитимный компонент: исполняемый файл WinMTR;
• Вредоносные компоненты: запускатель icardagt.exe и вредоносная библиотека DLL version.dll, загружаемая первым;
• Ключевая особенность: подписанный исполняемый файл имеет сертификат, срок действия которого истёк в 2010 году — признак легитимности, что затрудняет определение подделки.

После запуска вредоносная программа устанавливает связь с управляющими серверами (C2), имеющими имена в формате 13-символьной строки с доменом верхнего уровня .life, совпадающим с тактикой предыдущих кампаний, включая доставку замаскированных под RVTools.msi вредоносных файлов.

Изменение тактики злоумышленников и рекомендации по безопасности

Особое внимание стоит обратить на выбор злоумышленниками малоизвестных, но широко используемых в технических кругах программных продуктов. Вероятно, это обусловлено пониманием того, что подобное ПО реже проверяется жертвами и может использоваться для масштабных атак и краж данных.

Данный сдвиг в стратегии подчеркивает важность не полагаться исключительно на рейтинг сайтов в поисковых системах. Пользователям настоятельно рекомендуется:

• Подтверждать источник программного обеспечения через официальные или авторитетные сторонние сайты;
• Использовать перекрестные ссылки для проверки подлинности загрузок;
• Повышать общую бдительность при работе с файлами, особенно с нестандартными типами установщиков (MSI).

«Одного высокого рейтинга в поисковой выдаче недостаточно для подтверждения легитимности — проверяйте всё тщательно», — советуют эксперты по кибербезопасности.

В свете выявленных опасностей, организации и частные пользователи должны пересмотреть свои подходы к загрузке и установке программного обеспечения, чтобы эффективно противостоять угрозам, исходящим от таких гибких и адаптивных вредоносных кампаний, как Bumblebee.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.