Aux prémisses des cyberattaques : le retour de Bumblebee ?

Souvenez-vous : fin mai dernier, Europol levait le voile sur un importante opération judiciaire internationale baptisée Endgame. Elle se concentrait sur les toutes premières étapes de nombreuses cyberattaques débouchant sur le déclenchement de rançongiciels.

En cela, elle visait des botnets et mentionnait IcedID, SystemBC, Pikabot, Smokeloader, Trickbot, et Bumblebee.

Ce dernier a pris la suite de BazarLoader – vu dans la cyberattaque contre la Collectivité européenne d’Alsace– dans l’arsenal de Conti, au printemps 2022. Le ransomware Quantum a été publiquement associé à BumbleBee, mais le groupe Royal aurait également pu l’utiliser en amont de ses cyberattaques avec rançongiciel. Tous deux sont des émanations de feu Conti.

Au printemps 2023, les équipes de Secureworks expliquaient avoir « observé la distribution du logiciel malveillant Bumblebee via des installeurs trompeurs pour des logiciels populaires tels que Zoom, Cisco AnyConnect, ChatGPT et Citrix Workspace. Bumblebee est un chargeur modulaire, historiquement distribué principalement par phishing, qui a été utilisé pour distribuer des charges utiles couramment associées aux déploiements de ransomwares ». 

Las, Bumblebee pourrait être de retour. C’est le chercheur Leandro Fróes de Netskope qui alerte. 

Dans un billet de blog, il explique que « l'équipe de Netskope Threat Labs a découvert ce qui semble être une nouvelle chaîne d'infection menant à l'infection par le logiciel malveillant Bumblebee, et nos conclusions corroborent celles d'autres chercheurs ».

Certes, indique-t-il, « la chaîne d'infection utilisée pour délivrer la charge utile finale n'est pas nouvelle, mais c'est la première fois que nous la voyons utilisée par Bumblebee ». Dès lors, « ces activités pourraient indiquer le retour de Bumblebee dans le paysage de la menace ».

Tout part d’un fichier ZIP attaché à un email indésirable, et contenant un fichier LNK : « une fois exécuté, [ce fichier] lance une chaîne d'événements pour télécharger et exécuter la charge utile finale de Bumblebee en mémoire, ce qui évite d'avoir à écrire la DLL sur le disque, comme cela a été le cas lors des campagnes précédentes ».

Et cela passe par un fichier MSI, comme pour les maliciels tels que DarkGate et Latrodectus – qui renvoie aux développeurs d’IcedID et apparaît activement utilisé – : de quoi leurrer les utilisateurs et les encourager á contourner les protections en place. Des échantillons de Bulmblebee ont été vu usurpant des installateurs pour Nvidia ou encore Midjourney.