Bumblebee անվանումով հայտնի malware loader-ը չորս ամսյա բացակայությունից հետո կրկին ակտիվացել է և հանդես եկել, որպես նոր ֆիշինգային արշավի մի մաս:
Անվտանգության ոլորտի Proofpoint ընկերության փոխանցմամբ գործունեությունն ուղղված է ԱՄՆ-ի կազմակերպություններին, որոնք OneDrive URL-ներ են պարունակում:
Փաստաթղթի բացումը VBA macro-ններին թույլ են տալիս գործարկել PowerShell հրամանը, որպեսզի remote սերվերից ներբեռնվի և գործարկվի մեկ այլ PowerShell սկրիպտ, ինչ էլ իր հերթին գործարկում է Bumblebee loader-ը:
Bumblebee-ը, որն առաջին անգամ նկատվել է 2022 թվականի մարտին, հիմնականում նախատեսված է ransomware-եր գործարկելու համար:
Macro-based հարձակումները զգալիորեն տարբերվում են սովորական արշավներից, որոնցում ֆիշինգային նամակները ստացվում էին zipped LNK ֆայլերով և պարունակում էին Bumblebee:
Պարզվել է, որ QakBot-ի վերջին արտեֆակտները խստացնում են գաղտնագրումը: Նոր սերնդի կատարելագործված տարբերակներով հնարավորություն է տրվում հասկանալու, թե արդյոք malware-ն աշխատում է վիրտուալ մեքենայի ներսից կամ sandbox-ից:
Բացահայտումը տեղի ունեցավ այն ժամանակ, երբ Malwarebytes-ը նոր արշավ նկատեց, որտեղ ֆիշինգ կայքերը նմանակում էին այնպիսի ֆինանսական հաստատություններին, ինչպիսին է Barclays-ը: Արդյունքում խաբում էին պոտենցիալ թիրախներին՝ ներբեռնելով remote desktop software-ներ:
Աղբյուրը՝ https://thehackernews.com/
