Nuevo malware denominado Bumblebee ha vuelto a surgir como una grave amenaza para las redes corporativas, cuatro meses después de ser interrumpido por Europol.
Investigadores de Netskope Threat Labs han hallado un nuevo vector de infección relacionado con Bumblebee, marcando su primera aparición desde la Operación Endgame de Europol en mayo de 2024.
Cómo funciona el ataque
Bumblebee se propaga a través de correos de phishing con archivos ZIP que, al extraerse, revelan un archivo LNK [2]. Este archivo, al ejecutarse, descarga la carga útil en memoria sin dejar rastro en el disco. La nueva variante utiliza archivos MSI disfrazados de instaladores legítimos. Tras la ejecución, Bumblebee permite la escalada de privilegios, reconocimiento y robo de credenciales, facilitando la exfiltración de datos por parte de los cibercriminales.
Indicadores de Compromiso
Tabla 1 Indicadores de Compromiso. Tomado de [3]
| Tipo de Archivo | SHA256 Hash |
| ZIP file | 2bca5abfac168454ce4e97a10ccf8ffc068e1428fa655286210006b298de42fb |
| LNK file | 106c81f547cfe8332110520c968062004ca58bcfd2dbb0accd51616dd694721f |
| MSI file | c26344bfd07b871dd9f6bd7c71275216e18be265e91e5d0800348e8aa06543f90ab5b3e9790aa8ada1bbadd5d22908b5ba7b9f078e8f5b4e8fcc27cc0011cce7d3f551d1fb2c307edfceb65793e527d94d76eba1cd8ab0a5d1f86db11c9474c3d1cabe0d6a2f3cef5da04e35220e2431ef627470dd2801b4ed22a8ed9a918768 |
| Bumblebee payload | 7df703625ee06db2786650b48ffefb13fa1f0dae41e521b861a16772e800c115 |
| Payload URL | hxxp:///193.242.145.138/mid/w1/Midjourney.msi |
| hxxp://193.176.190.41/down1/nvinstall.msi |
Recomendaciones
- Implementar medidas avanzadas de seguridad como segmentación de la red, monitoreo de procesos en tiempo real.
- Realizar campañas de concientización frecuentes al personal sobre phishing.
- Bloquear los IoCs en firewall.
- Implementar herramientas de prevención de phishing.
Referencia:
[1] «GBHackers Security | #1 Globally Trusted Cyber Security News Platform,» [En línea]. Available: https://gbhackers.com/hackers-use-bumblebee-malware/.
[2] «GBHackers Security | #1 Globally Trusted Cyber Security News Platform,» [En línea]. Available: https://gbhackers.com/hackers-use-bumblebee-malware/.
[3] «GitHub,» [En línea]. Available: https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/Bumblebee/IOCs.
