На этот раз неправильные киберпчелы нацелились на WebDAV-файлы.

После двухмесячного перерыва вредоносный загрузчик Bumblebee возобновил свою активность . Исследователи из организации Intel471 обнаружили, что кампания злоупотребляет услугами WebDAV на хостинговой платформе 4shared. Эта платформа упоминалась в отчете правительства США 2016 года как сервис для размещения материалов, нарушающих авторские права. Использование 4shared не только обеспечивает надежность инфраструктуры для операторов Bumblebee, но и позволяет избежать блокировок.

Интеграция с протоколом WebDAV, расширяющим стандартные возможности HTTP, предоставляет злоумышленникам несколько путей для обхода систем поведенческого анализа. Это также облегчает распространение вредоносного ПО и смену типа атаки после первоначального заражения.

В этой кампании операторы Bumblebee активно используют мошеннические электронные письма. Чтобы заманить жертв, они маскируют эти сообщения под сканы, счета и уведомления. В основном вложения в письмах представлены файлами с расширением LNK, хотя иногда встречаются и ZIP-архивы с такими же файлами. Вероятно, злоумышленники экспериментируют, чтобы выработать самый эффективный способ доставки вредоносного кода.

Открытие файла LNK активирует на компьютере жертвы последовательность команд. Процесс атаки начинается с присоединения WebDAV-папки к сетевому диску. Для этого используются учетные данные, заранее внедренные в код, для доступа к облачному хранилищу на 4shared. Далее следуют шаги по загрузке, извлечению и выполнению вредоносных элементов.

Обновленный загрузчик работает на протоколе TCP (по всей видимости, от прежнего WebSocket его создатели решили отказаться). Кроме того, Bumblebee теперь применяет алгоритм, который автоматически создаёт около 100 интернет-доменов в зоне ".life". В этом помогает 64-битное статическое "семя" — начальное число, на основе которого генерируются сетевые адреса. Изменения также усложняют задачу по блокировке и выведению из строя инфраструктуры программы.

Раньше Bumblebee ассоциировался с распространением вымогательских ПО, таких как Conti и Akira. Его возвращение с усовершенствованными методами распространения и обхода защитных мер представляет собой серьезную угрозу. С учетом нововведений вроде алгоритма генерации доменов и протокола TCP для связи с серверами управления, загрузчик становится еще более непредсказуемым и устойчивым к блокировкам.

Источник: securitylab