Фальшивая реклама таких известных программ, как ChatGPT, Zoom и Citrix Workspace распространяет загрузчик малвари Bumblebee, который, как считают эксперты, был разработан хак-группой Conti на замену бэкдору BazarLoader.
Напомню, что впервые Bumblebee был в апреле 2022 года. Как объясняли тогда исследователи, он представляет собой многофункциональный инструмент, который может использовать для начального доступа к сетям жертв и последующего развертывания других полезных нагрузок, включая шифровальщики.
Как теперь сообщили специалисты из компании , недавно злоумышленники запустили новую кампанию по распространению Bumblebee. На этот раз они используют Google Ads, продвигая троянизированные версии разных популярных приложений.
К примеру, одна из кампаний начиналась с рекламы в Google, а затем приводила жертву на фальшивую страницу загрузки Cisco AnyConnect Secure Mobility Client, созданную 16 февраля 2023 года и размещенную в домене appcisco[.]com на скомпрометированном WordPress-сайте.
Вместо искомого софта на этом сайте пользователь получал вредоносный установщик MSI с именем cisco-anyconnect-4_9_0195.msi, устанавливавший Bumblebee. Дело в том, что наряду с настоящим AnyConnect установщик копировал на машину жертвы PowerShell-скрипт cisco2.ps1.
Очевидно, что эта вредоносная кампания нацелена на корпоративных пользователей, а зараженные устройства становятся точками входа для вымогателей. Аналитики Secureworks внимательно изучила одну из таких атак Bumblebee и обнаружили, что злоумышленники использовали полученный доступ к скомпрометированной системе для бокового перемещения по сети организации уже через три часа после исходного заражения.
Напомню, что впервые Bumblebee был в апреле 2022 года. Как объясняли тогда исследователи, он представляет собой многофункциональный инструмент, который может использовать для начального доступа к сетям жертв и последующего развертывания других полезных нагрузок, включая шифровальщики.
Как теперь сообщили специалисты из компании , недавно злоумышленники запустили новую кампанию по распространению Bumblebee. На этот раз они используют Google Ads, продвигая троянизированные версии разных популярных приложений.
К примеру, одна из кампаний начиналась с рекламы в Google, а затем приводила жертву на фальшивую страницу загрузки Cisco AnyConnect Secure Mobility Client, созданную 16 февраля 2023 года и размещенную в домене appcisco[.]com на скомпрометированном WordPress-сайте.
Вместо искомого софта на этом сайте пользователь получал вредоносный установщик MSI с именем cisco-anyconnect-4_9_0195.msi, устанавливавший Bumblebee. Дело в том, что наряду с настоящим AnyConnect установщик копировал на машину жертвы PowerShell-скрипт cisco2.ps1.
Очевидно, что эта вредоносная кампания нацелена на корпоративных пользователей, а зараженные устройства становятся точками входа для вымогателей. Аналитики Secureworks внимательно изучила одну из таких атак Bumblebee и обнаружили, что злоумышленники использовали полученный доступ к скомпрометированной системе для бокового перемещения по сети организации уже через три часа после исходного заражения.
