Mã độc Bumblebee quay trở lại trong các cuộc tấn công mới

Trình tải mã độc Bumblebee đã kết thúc ‘kỳ nghỉ’ kéo dài hai tháng của mình bằng một chiến dịch mới, sử dụng các kỹ thuật phân phối mới lợi dụng các dịch vụ WebDAV 4shared.

WebDAV là một phần mở rộng của giao thức HTTP, cho phép khách hàng thực hiện các hoạt động soạn thảo từ xa như tạo, truy cập, cập nhật và xóa nội dung máy chủ web.

Các nhà nghiên cứu của Intel471 cho biết, chiến dịch mới nhất của Bumblebee bắt đầu từ 7/9 vừa qua, lợi dụng các dịch vụ WebDAV 4shared để phân phối loader, điều chỉnh chuỗi tấn công và thực hiện một số hành động sau lây nhiễm.

Việc lạm dụng nền tảng 4shared, một nhà cung cấp dịch vụ lưu trữ file hợp pháp và nổi tiếng, cho phép những kẻ đứng sau Bumblebee trốn tránh cơ chế an ninh mà vẫn tận dụng được tính khả dụng của cơ sở hạ tầng. Đồng thời, giao thức WebDAV cung cấp cho hacker nhiều cách để vượt qua các hệ thống phát hiện hành vi, cũng như lợi thế bổ sung là phân phối hợp lý, chuyển đổi payload dễ dàng…

Chiến dịch Bumblebee dựa vào các malspam giả dạng file scan, hóa đơn và các thông báo để dụ người nhận tải xuống các file đính kèm độc hại. Hầu hết các tệp đính kèm là file LNK shortcut Windows, nhưng cũng có một số là file ZIP chứa LNK. Đây có thể là dấu hiệu cho thấy hacker đang thử nghiệm để xác định xem file nào hoạt động tốt nhất.

Việc mở tệp LNK sẽ khởi chạy một loạt lệnh trên máy của nạn nhân, bắt đầu bằng lệnh gắn thư mục WebDAV vào ổ đĩa mạng bằng thông tin xác thực được mã hóa cứng cho tài khoản lưu trữ 4shared.

Nguồn: Bleeping Computer