Bumblebee vuelve al juego: el malware imita los controladores de NVIDIA

El cargador malicioso Bumblebee ha vuelto a aparecer en estado salvaje más de cuatro meses después de que su actividad fuera detenida por una operación internacional de Europol llamada «Endgame» en mayo de este año.

Según los expertos, Bumblebee fue creado por los desarrolladores de TrickBot y apareció por primera vez en 2022 como reemplazo de BazarLoader. Este cargador proporciona acceso a las redes de las víctimas a grupos de ransomware.

Los principales métodos de distribución de Bumblebee incluyen phishing, publicidad maliciosa y spam SEO. Promovió aplicaciones como Zoom, Cisco AnyConnect, ChatGPT y Citrix Workspace. Entre las cargas maliciosas típicas distribuidas por Bumblebee se encuentran balizas de Cobalt Strike, programas de robo de datos y varias versiones de ransomware.

En mayo, como parte de la operación «Endgame», las autoridades confiscaron más de cien servidores que apoyaban las operaciones de varios cargadores maliciosos, incluidos IcedID, Pikabot, TrickBot, Bumblebee, Smokeloader y SystemBC. Desde entonces, Bumblebee prácticamente no ha mostrado actividad. Sin embargo, investigadores de Netskope recientemente detectaron una nueva ola de ataques con Bumblebee, lo que podría indicar su resurgimiento.

La cadena de ataque comienza con un correo de phishing que invita a descargar un archivo ZIP. Dentro del archivo se encuentra un acceso directo (.LNK) llamado «Report-41952.lnk», que a través de PowerShell descarga un archivo MSI malicioso disfrazado de instalador de un controlador NVIDIA o del programa Midjourney.

El archivo MSI se ejecuta mediante la utilidad «msiexec.exe» en modo silencioso (opción /qn), evitando la interacción con el usuario. Para ocultar sus acciones, el malware utiliza la tabla SelfReg, cargando una DLL directamente en el espacio de «msiexec.exe» y activando sus funciones.

Durante su despliegue, Bumblebee carga su código malicioso en la memoria e inicia el proceso de descompresión. Los investigadores señalaron que en esta nueva variante del malware se utiliza la cadena «NEW_BLACK» para descifrar la configuración y dos identificadores de campaña: «msi» y «lnk001».

Aunque Netskope no proporcionó datos sobre el alcance de la campaña ni los tipos de cargas útiles distribuidas, la investigación destaca señales tempranas de un posible resurgimiento de Bumblebee. La lista completa de indicadores de compromiso está disponible en GitHub.

El regreso de Bumblebee es un recordatorio de que, incluso después de operaciones exitosas contra las amenazas cibernéticas, no se puede bajar la guardia: siempre puede emerger nueva actividad maliciosa desde las sombras, cambiando de forma pero no de intención.