Bumblebee снова в атаке: вредоносное ПО возвращается после ареста

Вредоносное ПО Bumblebee вновь начинает активные атаки. Специалисты по кибербезопасности заметили его появление спустя четыре месяца после операции «Endgame», проведенной Европолом в мае. Эта операция привела к аресту множества серверов, использовавшихся для распространения различных вредоносных программ, включая Bumblebee.

Bumblebee — это загрузчик вредоносного ПО, созданный разработчиками TrickBot. Он появился в 2022 году и заменил BazarLoader. Его основная задача — дать доступ к сетям жертв для атакующих, использующих программы-вымогатели. Загрузчик проникает в системы через фишинг, вредоносную рекламу и SEO-поисковую оптимизацию. Зачастую он под видом различных программ, таких как Zoom или Cisco AnyConnect, заманивает пользователей в ловушку.

Недавние атаки Bumblebee начинаются с фишингового письма. Жертва получает ссылку для загрузки вредоносного ZIP-архива. Внутри архива содержится .LNK-ярлык, который вызывает PowerShell для загрузки вредоносного .MSI-файла, маскирующегося под обновление драйвера NVIDIA или установщик Midjourney. Этот файл запускается без вмешательства пользователя, используя специальный код.