Regresa el malware Bumblebee después de meses sin actividad
Los expertos de Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, han detectado el regreso del malware Bumblebee el pasado 8 de febrero después de cuatro meses de ausencia.
Bumblebee es un sofisticado software de descarga que ha sido utilizado por múltiples ciberdelincuentes y ha sido una de las payloads más utilizadas desde su primera aparición en marzo de 2022. Hasta el momento, no se ha podido atribuir esta actividad a un grupo de ciberdelincuentes conocido.
En la campaña de febrero, se han observado miles de correos electrónicos dirigidos a organizaciones de Estados Unidos con el asunto "Voicemail February" del remitente "info@quarlesaa.com". Estos mensajes contenían URLs de OneDrive que llevaban a un documento de Word que falsificaba la identidad de la empresa de electrónica Humane.
Esta nueva actividad es muy diferente a las campañas detectadas anteriormente, sobre todo llama la atención el uso de documentos con macros VBA en la cadena de ataque, ya que la mayoría de los ciberdelincuentes han dejado de usarlas, especialmente aquellos que entregan payloads que pueden actuar como facilitadores de acceso inicial para la actividad posterior de ransomware. En 2022, Microsoft comenzó a bloquear las macros por defecto, lo que provocó un cambio masivo en las cadenas de ataque, que comenzaron a utilizar tipos de archivo más inusuales, explotación de vulnerabilidades, combinación de URLs y archivos adjuntos, encadenamiento de archivos de secuencias de comandos, etc.
“El regreso de Bumblebee coincide con un repunte de actividad en el panorama general de ciberdelincuencia. El 2024 ha empezado con fuerza para muchos grupos de ciberdelincuentes que han vuelto a recuperar niveles muy elevados de actividad tras una pausa temporal en invierno”, explican desde el equipo de investigación de Proofpoint. “Seguimos observando continuamente cadenas de ataque nuevas y creativas, y malware actualizado, con el objetivo de eludir detenciones por parte de los atacantes. Esperamos que esto continúe hasta que vuelvan a hacer una pausa en verano”.
