Le malware Bumblebee est un chargeur multifonctionnel utilisé par des cybercriminels et des acteurs de la menace1. Son rôle primaire est d'ouvrir une porte dérobée sur l'ordinateur cible et de servir de "passe plat" afin d'y déposer des fichiers utile à une attaque par Ransomware
Il fonctionne également comme un téléchargeur pour exécuter des codes malveillants cultivés et faciliter le chargement de Meterpreter, l’injection de shell-code, l’injection de DLL et Cobalt Strike1.
En raison de sa nature compacte, Bumblebee est susceptible de devenir l’outil multifonctionnel préféré des cybercriminels et des acteurs de la menace.
Bumblebee est un chargeur de logiciels malveillants créé pour remplacer le BackDoor BazarLoader, qui a été utilisée pour fournir des charges utiles de ransomware. Construit à l’aide du langage de programmation C ++, le code de Bumblebee reste condensé dans une seule fonction qui gère l’initialisation, le déploiement, la prise en compte des réponses et l’envoi de demandes.
Une attaque récente impliquant le ransomware Quantum illustre la façon dont Bumblebee est utilisé par les cybercriminels.
Mode opératoire du Malware
L’émergence de Bumblebee a coïncidé avec une forte baisse de l’utilisation d’autres chargeurs de logiciels malveillants bien connus comme IcedID et BazarLoader. Selon un chercheur indépendant en logiciels malveillants, Eli Salem, les créateurs de Bumblebee pourraient être connectés au botnet TrickBot, principalement en raison des similitudes dans leur code source.
Différents programmes antivirus l’appellent par d’autres noms. Par exemple: