Los anuncios falsos de programas conocidos como ChatGPT, Zoom y Citrix Workspace distribuyen el cargador de malware Bumblebee que, según los expertos, fue desarrollado por el grupo de hackers Conti para reemplazar la puerta trasera BazarLoader.
Permítanme recordarles que Bumblebee se descubrió por primera vez en abril de 2022. Como explicaron los investigadores en ese momento, es una herramienta multifuncional que se puede utilizar para acceder inicialmente a las redes de las víctimas y, posteriormente, implementar otras cargas útiles, incluido el ransomware.
Tal y como han informado ahora especialistas de la empresa Secureworks , los atacantes lanzaron recientemente una nueva campaña para distribuir Bumblebee. Esta vez están usando Google Ads para promocionar versiones troyanizadas de varias aplicaciones populares.
Por ejemplo, una de las campañas comenzó con un anuncio en Google y luego llevó a la víctima a una página de descarga falsa de Cisco AnyConnect Secure Mobility Client creada el 16 de febrero de 2023 y alojada en el dominio appcisco[.]com en un sitio de WordPress comprometido.
En lugar del software deseado en este sitio, el usuario recibió un instalador MSI malicioso llamado cisco-anyconnect-4_9_0195.msi, que instaló Bumblebee. El hecho es que, junto con el AnyConnect real, el instalador copió el script de PowerShell cisco2.ps1 en la máquina de la víctima.
«Este script de PowerShell contiene un conjunto de funciones renombradas copiadas de ReflectivePEInjection.ps1 de PowerSploit», escriben los investigadores. «También contiene una carga útil codificada de Bumblebee que se carga automáticamente en la memoria».
Está claro que esta campaña maliciosa está dirigida a usuarios corporativos y los dispositivos infectados se convierten en puntos de entrada para el ransomware. Los analistas de Secureworks observaron más de cerca uno de esos ataques de Bumblebee y descubrieron que los atacantes usaron su acceso a un sistema comprometido para atravesar la red de la organización de forma lateral tan pronto como tres horas después de la infección inicial.