En el vasto y siempre cambiante panorama de la ciberseguridad, el malware Bumblebee ha vuelto a captar la atención de expertos y usuarios por igual tras un breve receso de cuatro meses. En este artículo profundizaremos en la naturaleza de Bumblebee, sus métodos de ataque recientes, y ofreceremos consejos prácticos para protegerse contra esta amenaza cibernética. Al entender mejor cómo opera este malware, individuos y organizaciones pueden fortalecer sus defensas en la era digital.
Después de un receso de cuatro meses, el malware Bumblebee ha vuelto, apuntando a miles de organizaciones estadounidenses con campañas de phishing. Identificado por primera vez en abril de 2022, Bumblebee es un cargador de malware desarrollado, según se cree, por los grupos de ciberdelincuencia Conti y Trickbot, sirviendo como sustituto del BazarLoader.
Este malware se propaga principalmente a través de campañas de phishing para desplegar cargas maliciosas adicionales en los dispositivos comprometidos, como las balizas Cobalt Strike, facilitando el acceso inicial a las redes y permitiendo ejecutar ataques de ransomware.
Según una reciente observación, este retorno de Bumblebee desde octubre marca un punto de inflexión que podría desencadenar un incremento en las actividades delictivas en el ciberespacio conforme nos dirigimos hacia 2024.
Conoce más sobre: Análisis de Malware con Wazuh
La reciente campaña de phishing que promueve Bumblebee se disfraza de notificaciones de correo de voz, utilizando el asunto "Voicemail February". Estos fueron enviados a miles de organizaciones en EE. UU. desde la dirección "info@quarlessa[.]com".
Los correos electrónicos incluyen un enlace a OneDrive que lleva a un documento de Word denominado "ReleaseEvans#96.docm" o nombres similares, que finge estar relacionado con la empresa de electrónica de consumo hu.ma.ne, famosa por su pin con tecnología de inteligencia artificial.
Documento falso que contiene la macro VBA
El documento en cuestión activa macros para generar un archivo de script en la carpeta temporal de Windows, ejecutando luego este archivo eliminado mediante "wscript". Este archivo temporal ejecuta un comando de PowerShell que obtiene y corre la siguiente fase desde un servidor remoto, que a su vez descarga e instala la DLL de Bumblebee (w_ver.dll) en el dispositivo afectado.
Te podrá interesar: Virus de Macro en Documentos: ¿Qué son?
La utilización de macros de VBA en documentos llama la atención y es poco común después de que Microsoft decidiera bloquear las macros por defecto en 2022, lo cual supone un obstáculo para el éxito de esta campaña.
En campañas anteriores, Bumblebee recurrió a métodos como descargas directas de DLL, contrabando de HTML y la explotación de vulnerabilidades, como CVE-2023-38831, para distribuir la carga maliciosa, marcando la estrategia actual como una desviación notable de técnicas más recientes.
Las razones de este cambio podrían ser la búsqueda de evasión, dado que los VBA maliciosos se han vuelto menos comunes, o el enfoque en objetivos específicos con sistemas desactualizados. Además, podría indicar que Bumblebee está experimentando y diversificando sus métodos de distribución.
Se ha observado que Bumblebee ha experimentado con documentos llenos de macros en campañas previas, aunque estos casos representan solo el 4.3% del total observado (230 campañas).
El último avance significativo de Bumblebee antes de su pausa fue en septiembre de 2023, cuando el malware introdujo una nueva técnica de distribución que abusaba de los servicios WebDAV de 4shared para sortear listas de bloqueo.
Te podrá interesar: Herramientas de Aislamiento de Malware Potencial
Bumblebee es frecuentemente utilizado por ciberdelincuentes que buscan evitar la fase de acceso inicial, inyectando directamente sus cargas maliciosas en sistemas ya comprometidos. Aunque no se puede atribuir esta reciente campaña a ningún grupo de amenaza específico por falta de evidencia, los investigadores han observado características que coinciden con las de actores de amenazas conocidos como TA579.
Recientemente, se ha notado un aumento en las actividades de otros grupos de amenazas, entre ellos TA576, TA866, TA582 y TA2541. La desactivación de QBot (Qakbot) por autoridades policiales ha dejado un vacío en el mercado de distribución de malware, el cual otros están intentando ocupar.
Entre los ejemplos notables se encuentran DarkGate y Pikabot, dos avanzados cargadores de malware que ahora están causando infecciones a través de diversos canales, incluyendo phishing, anuncios maliciosos, y mensajes en Skype y Microsoft Teams.
Un informe reciente sobre Pikabot indica que este malware ha vuelto con una nueva versión más simplificada este mes, tras un breve descanso después de las festividades navideñas del año pasado. La versión actualizada de Pikabot ha prescindido de las complejas técnicas de ofuscación de código que usaba antes y adopta un sistema de configuración más limitado, lo que sugiere el lanzamiento prematuro de una variante mejorada.
Conoce más sobre: Post-Qakbot: Mitigación y Defensa Ante Nuevas Amenazas
El resurgimiento del malware Bumblebee subraya la importancia de mantenerse vigilante y proactivo en la ciberseguridad. A medida que los atacantes continúan refinando sus métodos, la educación, la preparación y la implementación de prácticas de seguridad sólidas son más vitales que nunca. Al adoptar un enfoque integral para la seguridad informática, individuos y organizaciones pueden protegerse mejor contra la creciente amenaza de malware como Bumblebee.