Вредонос Bumblebee распространяется через фальшивые сайты популярных утилит

Злоумышленники вновь задействовали метод «отравления» поисковой выдачи — в сети обнаружена кампания по распространению вредоносного ПО Bumblebee под видом установщиков известных инструментов с открытым кодом. Об этом сообщает BleepingComputer.

Речь идёт о сайтах, маскирующихся под официальные страницы утилит Zenmap (графическая оболочка Nmap) и WinMTR (инструмент трассировки маршрутов). Один из доменов — zenmap[.]pro — на момент публикации остаётся активным и отображает фальшивый блог, тогда как winmtr[.]org уже недоступен. Однако при переходе на сайт через поисковую систему пользователь видит почти полную копию настоящей страницы Nmap — с разделом загрузки, ведущим к заражённому установщику.

Файлы вроде zenmap-7.97.msi и WinMTR.msi содержат не только легитимную версию программы, но и вредоносную DLL, которая незаметно устанавливает загрузчик Bumblebee. После заражения устройство жертвы может использоваться для сбора данных, установки шпионских программ или вирусов-шифровальщиков.

Кампания распространяется через SEO-манипуляции — фальшивые страницы попадают в топ поисковой выдачи Google и Bing по релевантным запросам. Это повышает вероятность того, что пользователи перейдут по поддельным ссылкам.

Эксперты также зафиксировали похожие домены, имитирующие официальные сайты других разработчиков, в том числе milestonesys[.]org, предлагающий заражённую версию ПО для видеонаблюдения Milestone XProtect, и ресурсы, нацеленные на пользователей систем Hanwha Wisenet.

Ситуация осложняется тем, что в данный момент легальные сайты RVTools — одного из первых пострадавших брендов — недоступны. По информации Dell Technologies, причиной стали DDoS-атаки, а не размещение вредоносных файлов. Вполне возможно, что операторы Bumblebee специально вывели официальный источник из строя, чтобы направить поток пользователей на поддельные версии.

Специалисты настоятельно рекомендуют загружать программы только с официальных сайтов и проверенных репозиториев. Для дополнительной уверенности следует сверять хэш-суммы установщиков с опубликованными контрольными значениями.