Quand les publicités de Google sont détournées pour envoyer vers BumbleBee

Le malvertising n’est pas utilisé exclusivement pour pousser des maliciels dérobeurs, des infostealers. Selon les chercheurs de Secureworks, les anciens de PME mafieuse Conti y ont également recours pour leurrer les collaborateurs d’entreprises vers l’un des éléments clés de leur arsenal, BumbleBee. 

BumbleBee a pris la suite de BazarLoader, dans l’arsenal de Conti, au printemps 2022. Le ransomware Quantum a été publiquement associé à BumbleBee, mais le groupe Royal pourrait également l’utiliser en amont de ses cyberattaques avec rançongiciel. Tous deux sont des émanations de feu Conti.

Dans un billet de blog, les équipes de Secureworks expliquent avoir « observé la distribution du logiciel malveillant Bumblebee via des installeurs trompeurs pour des logiciels populaires tels que Zoom, Cisco AnyConnect, ChatGPT et Citrix Workspace. Bumblebee est un chargeur modulaire, historiquement distribué principalement par phishing, qui a été utilisé pour distribuer des charges utiles couramment associées aux déploiements de ransomwares ». 

Et avec des leurres pareils, les collaborateurs d’entreprises, en télétravail notamment, apparaissent clairement visés. 

Dans leur billet, les équipes de Secureworks expliquent avoir notamment analysé un échantillon « téléchargé à partir de http: //appcisco . com/vpncleint/cisco-anyconnect-4_9_0195.msi. Le 16 février 2023 (ou aux alentours), un acteur de menace a créé une fausse page de téléchargement pour Cisco AnyConnect Secure Mobility Client v4.x (voir la Figure 1) sur le domaine appcisco . com. Une chaîne d’infection qui a commencé par une publicité Google malveillante a envoyé l’utilisateur sur cette fausse page de téléchargement via un site WordPress compromis ».

Dans ce fichier malveillant, un script PowerShell « contient une sélection de fonctions renommées, copiées à partir du script PowerSploit ReflectivePEInjection.ps1. Il contient également une charge utile de logiciel malveillant Bumblebee encodée qu’il charge de manière réfléchie en mémoire ».

Dans un environnement compromis, les équipes de Secureworks ont observé que l’assaillant « se déplaçait latéralement environ trois heures après l’infection et déployait Cobalt Strike ainsi que les outils d’accès à distance légitimes AnyDesk et DameWare ».