Bumblebee — это продвинутый вредоносный загрузчик из семейства программ-вымогателей Conti, который демонстрирует высокую адаптивность и эффективность в современных кибератаках. Недавняя кампания злоумышленников использует тщательно сымитированные веб-сайты и SEO-отравление, чтобы направлять пользователей на вредоносные дистрибутивы популярных программ, таких как WinMTR и Milestone XProtect.
Механизм атаки: поддельные сайты и SEO-отравление
Злоумышленники создают сайты, практически неотличимые от официальных ресурсов поставщиков программного обеспечения. Для этого регистрируются домены, визуально похожие на оригинальные, что вводит пользователей в заблуждение. Основные методы доставки вредоносного ПО включают:
- Фишинговые сообщения с ссылками на имитирующие сайты;
- SEO-отравление, позволяющее вредоносным сайтам занимать высокие позиции в поиске Bing;
- Использование троянских установщиков в формате MSI вместо привычных ZIP-архивов.
Пользователи, вводящие поисковые запросы «WinMTR download» или «Milestone XProtect download», с высокой вероятностью переходят на вредоносные сайты, визуально идентичные оригиналам, но предлагающие заражённые программные пакеты.
Технические детали вредоносной кампании
Вредоносный MSI-файл загружается не локально, а извлекается с удалённого ресурса software-server.online. В процессе работы установщик вызывает msiexec.exe для инсталляции как легитимного программного обеспечения, так и вредоносных компонентов.
- Легитимный компонент: исполняемый файл WinMTR;
- Вредоносные компоненты: запускатель icardagt.exe и вредоносная библиотека DLL version.dll, загружаемая первым;
- Ключевая особенность: подписанный исполняемый файл имеет сертификат, срок действия которого истёк в 2010 году — признак легитимности, что затрудняет определение подделки.
После запуска вредоносная программа устанавливает связь с управляющими серверами (C2), имеющими имена в формате 13-символьной строки с доменом верхнего уровня .life, совпадающим с тактикой предыдущих кампаний, включая доставку замаскированных под RVTools.msi вредоносных файлов.
Изменение тактики злоумышленников и рекомендации по безопасности
Особое внимание стоит обратить на выбор злоумышленниками малоизвестных, но широко используемых в технических кругах программных продуктов. Вероятно, это обусловлено пониманием того, что подобное ПО реже проверяется жертвами и может использоваться для масштабных атак и краж данных.
Данный сдвиг в стратегии подчеркивает важность не полагаться исключительно на рейтинг сайтов в поисковых системах. Пользователям настоятельно рекомендуется:
- Подтверждать источник программного обеспечения через официальные или авторитетные сторонние сайты;
- Использовать перекрестные ссылки для проверки подлинности загрузок;
- Повышать общую бдительность при работе с файлами, особенно с нестандартными типами установщиков (MSI).
«Одного высокого рейтинга в поисковой выдаче недостаточно для подтверждения легитимности — проверяйте всё тщательно», — советуют эксперты по кибербезопасности.
В свете выявленных опасностей, организации и частные пользователи должны пересмотреть свои подходы к загрузке и установке программного обеспечения, чтобы эффективно противостоять угрозам, исходящим от таких гибких и адаптивных вредоносных кампаний, как Bumblebee.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Bumblebee: новые методы заражения через поддельные загрузчики ПО".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.