Los investigadores de Proofpoint identificaron el regreso del malware Bumblebee al panorama de amenazas cibercriminales el 8 de febrero de 2024 después de una ausencia de cuatro meses. Bumblebee es un descargador sofisticado utilizado por múltiples actores de amenazas cibercriminales y fue una carga útil favorita desde su primera aparición en marzo de 2022 hasta octubre de 2023 antes de desaparecer. 

En la campaña de febrero, observaron miles de correos electrónicos dirigidos a organizaciones de Estados Unidos con el asunto «Voicemail February» del remitente «[email protected]«. Estos mensajes contenían URLs de OneDrive que llevaban a un documento de Word que falsificaba la identidad de la empresa de electrónica Humane.

El documento utilizó macros para crear una secuencia de comandos en el directorio temporal de Windows, por ejemplo «%TEMP%/radD7A21.tmp», utilizando el contenido de CustomDocumentProperties SpecialProps, SpecialProps1, SpecialProps2 y SpecialProps3. Luego, la macro ejecutó el archivo soltado usando «wscript».  

Dentro del archivo temporal eliminado había un comando de PowerShell que descarga y ejecuta la siguiente etapa desde un servidor remoto, almacenado en el archivo “update_ver”.

La siguiente etapa fue otro comando de PowerShell que a su vez descargó y ejecutó la DLL de Bumblebee. 

La configuración de Bumblebee incluía: 

        ID de campaña: dcc3 

        Clave RC4: NUEVO_NEGRO 

El uso de documentos con macros VBA en la cadena de ataque

Esta nueva actividad es muy diferente a las campañas detectadas anteriormente, sobre todo llama la atención el uso de documentos con macros VBA en la cadena de ataque, ya que la mayoría de los ciberdelincuentes han dejado de usarlas, especialmente aquellos que entregan payloads que pueden actuar como facilitadores de acceso inicial para la actividad posterior de ransomware. En 2022, Microsoft comenzó a bloquear las macros por defecto. Esto provocó un cambio masivo en las cadenas de ataque, que comenzaron a utilizar tipos de archivo más inusuales, explotación de vulnerabilidades, combinación de URLs y archivos adjuntos, encadenamiento de archivos de secuencias de comandos, etc.

“El regreso de Bumblebee coincide con un repunte de actividad en el panorama general de ciberdelincuencia. El 2024 ha empezado con fuerza para muchos grupos de ciberdelincuentes que han vuelto a recuperar niveles muy elevados de actividad tras una pausa temporal en invierno”, explican desde el equipo de investigación de Proofpoint. “Seguimos observando continuamente cadenas de ataque nuevas y creativas, y malware actualizado, con el objetivo de eludir detenciones por parte de los atacantes. Esperamos que esto continúe hasta que vuelvan a hacer una pausa en verano”.