Le Malware "Bumblebee"

Le malware Bumblebee est un chargeur multifonctionnel utilisé par des cybercriminels et des acteurs de la menace1. Son rôle primaire est d'ouvrir une porte dérobée sur l'ordinateur cible et de servir de "passe plat" afin d'y déposer des fichiers utile à une attaque par Ransomware

Il fonctionne également comme un téléchargeur pour exécuter des codes malveillants cultivés et faciliter le chargement de Meterpreter, l’injection de shell-code, l’injection de DLL et Cobalt Strike1

En raison de sa nature compacte, Bumblebee est susceptible de devenir l’outil multifonctionnel préféré des cybercriminels et des acteurs de la menace.

Bumblebee est un chargeur de logiciels malveillants créé pour remplacer le BackDoor BazarLoader, qui a été utilisée pour fournir des charges utiles de ransomware. Construit à l’aide du langage de programmation C ++, le code de Bumblebee reste condensé dans une seule fonction qui gère l’initialisation, le déploiement, la prise en compte des réponses et l’envoi de demandes. 

Une attaque récente impliquant le ransomware Quantum illustre la façon dont Bumblebee est utilisé par les cybercriminels.

Mode opératoire du Malware 

  1. L'attaque commence par un e-mail de phishing contenant un fichier ISO, qui cache le loader Bumblebee et l'exécute sur la machine de la victime si la pièce jointe est ouverte. 
  2. Bumblebee fournit aux attaquants une porte dérobée sur le PC, leur permettant de prendre le contrôle des opérations et d'exécuter des commandes. 
  3. Les attaquants exécutent Cobalt Strike sur le système afin d'en prendre le contrôle et de recueillir davantage d'informations sur la machine, ce qui peut les aider à mener leur attaque.
  4. Ensuite, Bumblebee dépose la charge utile de Quantum ransomware, qui chiffre les fichiers sur la machine de la victime. 

L’émergence de Bumblebee a coïncidé avec une forte baisse de l’utilisation d’autres chargeurs de logiciels malveillants bien connus comme IcedID et BazarLoader. Selon un chercheur indépendant en logiciels malveillants, Eli Salem, les créateurs de Bumblebee pourraient être connectés au botnet TrickBot, principalement en raison des similitudes dans leur code source. 

Différents programmes antivirus l’appellent par d’autres noms. Par exemple:

  • Kaspersky terms it HEUR: Trojan.Win32.Generic
  • Microsoft Security (Program: Win32/Wacapew.C!ml)
  • Avast (LNK: Agent-BD [Trj])
  • ESET-NOD32 (Win64/Kryptik.CZJ)
  • Combo Cleaner (Gen: Variant.Lazy.164691)

Liste des differents noms de Malware