На этот раз неправильные киберпчелы нацелились на WebDAV-файлы. После двухмесячного перерыва вредоносный загрузчик Bumblebee возобновил свою активность. Исследователи из организации Intel471 обнаружили, что кампания злоупотребляет услугами WebDAV на хостинговой платформе 4shared. Эта платформа упоминалась в отчете правительства США 2016 года как сервис для размещения материалов, нарушающих авторские права. Использование 4shared не только обеспечивает надежность инфраструктуры для операторов Bumblebee, но и позволяет избежать блокировок. Это также облегчает распространение вредоносного ПО и смену типа атаки после первоначального заражения. В этой кампании операторы Bumblebee активно используют мошеннические электронные письма. Вероятно, злоумышленники экспериментируют, чтобы выработать самый эффективный способ доставки вредоносного кода. Процесс атаки начинается с присоединения WebDAV-папки к сетевому диску. Далее следуют шаги по загрузке, извлечению и выполнению вредоносных элементов. Обновленный загрузчик работает на протоколе TCP (по всей видимости, от прежнего WebSocket его создатели решили отказаться). Изменения также усложняют задачу по блокировке и выведению из строя инфраструктуры программы. Раньше Bumblebee ассоциировался с распространением вымогательских ПО, таких как Conti и Akira. Его возвращение с усовершенствованными методами распространения и обхода защитных мер представляет собой серьезную угрозу. С учетом нововведений вроде алгоритма генерации доменов и протокола TCP для связи с серверами управления, загрузчик становится еще более непредсказуемым и устойчивым к блокировкам.SecurityLab.ru