Indestructible, Bumblebee ? Après avoir succombé à Europol, le malware renaît de ces cendres et pourrait bien contraindre les autorités à plancher à nouveau sur le dossier.
Après cinq mois de silence imposé, Bumblebee fait à nouveau parler de lui, et ça n’est pas bon signe. Détecté par les équipes de Netskope Threat Labs dans de nouvelles campagnes d'attaques ciblées, il semble avoir retrouvé toute sa vigueur. Pour rappel, le « dropper », qui avait fait des ravages en 2022 et 2023, avait été neutralisé par l'opération Endgame en mai dernier. Mais les hackers à l'origine de Bumblebee n’ont visiblement pas dit leur dernier mot. Et cette fois-ci, les modalités d’infection semblent plus sournoises.
Un mode opératoire partiellement nouveau
C’est officiel : la menace Bumblebee n’a pas été totalement éradiquée, malgré les efforts fournis par Europol. Cette découverte fait état d’une résurgence récente et d’une évolution de son mode opératoire.
D’après les analyses de Netskope, tout commence par un mail de phishing classique. Les internautes piégés sont invités à télécharger un fichier ZIP en apparence légitime. Une fois l’archive décompressée, les victimes sont invitées à lancer un fichier LNK, responsable du téléchargement et de l’exécution de la charge utile finale en mémoire. Ici, donc, pas d’écriture de la DLL sur le disque, comme c’était le cas lors des précédentes campagnes.
Pour rappel, le recours aux fichiers LNK fait partie du mode opératoire privilégié de Bumblebee, qui s’en sert pour exécuter une commande PowerShell destinée à télécharger et lancer le payload. Sauf que cette fois-ci, ce fameux fichier conduit au téléchargement et à l’exécution d’un MSI vérolé, déguisé en mise à jour de pilote NVIDIA ou en installateur Midjourney. Une précision importante dans la mesure où l’on sait que les fichiers MSI constituent des vecteurs de charges malveillantes très efficaces. L’installation est silencieuse, sans intervention requise côté utilisateur, et la plupart des internautes ne se rendent jamais compte de l’infection.
Seul inconvénient qui pourrait trahir l’infection : la création d’un nouveau processus peut éveiller les soupçons d'antivirus (Microsoft Defender, Bitdefender, Norton, etc.), et déclencher des alertes signalant des évènements inhabituels. Mais Bumblebee a tout prévu et utilise la table SelfReg, qui lui permet d’opérer en mode furtif.
Pas de repos pour les braves
Pour le moment, Netskope n’a pas communiqué de détails supplémentaires concernant les types de payloads injectés et l’ampleur de la campagne. Le rapport sert essentiellement d’avertissement, et invite les particuliers comme les entreprises à faire preuve de vigilance.
Le retour de Bumblebee fait suite à une série d’opérations coordonnées par les forces de l’ordre internationales. Menée en mai 2024 sous la direction d’Europol, l’opération Endgame avait permis de neutraliser plusieurs droppers, dont Bumblebee, SmokeLoader, IceID, SystemBC et Pickabot. Quatre arrestations avaient eu lieu et 2 000 noms de domaines avaient été désactivés.
Deux mois plus tard, l’opération Morpheus démantelait un réseau de plus de 600 serveurs liés à la diffusion du malware Cobalt Strike, que Bumblebee avait pour habitude d’injecter sur les systèmes infectés.
Comme souvent, la bataille remportée par les autorités n’a pas signé la fin de la guerre, et Europol n’a plus qu’à se remettre au travail.
Source : Netskope
16 octobre 2024 à 11h48
