Der berüchtigte Malware-Loader und Zugriffsvermittler namens Bumblebee ist nach einer viermonatigen Abwesenheit im Rahmen einer neuen Phishing-Kampagne im Februar 2024 wieder aufgetaucht. Das Unternehmen Proofpoint, das sich mit Unternehmenssicherheit befasst, berichtete, dass die Aktivität Organisationen in den USA mit Voicemail-Themen-Ködern ins Visier nimmt, die Links zu OneDrive-URLs enthalten. Das Unternehmen erklärte in einem Bericht am Dienstag: „Die URLs führten zu einer Word-Datei mit Namen wie „ReleaseEvans#96.docm“ (die Zahlen vor der Dateierweiterung variierten). Das Word-Dokument fälschte das Verbraucherelektronikunternehmen Humane.“ Das Öffnen des Dokuments nutzt VBA-Makros, um einen PowerShell-Befehl auszulösen, der einen weiteren PowerShell-Skript von einem Remote-Server herunterlädt und ausführt, der wiederum den Bumblebee-Loader abruft und startet.
Bumblebee, erstmals im März 2022 entdeckt, ist hauptsächlich darauf ausgelegt, Nachfolgepayloads wie Ransomware herunterzuladen und auszuführen. Mehrere Straftäter haben ihn genutzt, um BazaLoader (auch bekannt als BazarLoader) und IcedID zu verbreiten. Es wird auch vermutet, dass die Bedrohungsakteure vom Cybercrime-Syndikat Conti und TrickBot Bumblebee als Ersatz für BazarLoader entwickelt haben. Im September 2023 veröffentlichte Intel 471 eine Bumblebee-Vertriebskampagne, die Web Distributed Authoring and Versioning (WebDAV)-Server verwendete, um den Loader zu verbreiten. Die Angriffskette ist vor allem aufgrund ihrer Abhängigkeit von makrofähigen Dokumenten bemerkenswert. Insbesondere berücksichtigt man, dass Microsoft im Juli 2022 begonnen hat, Makros in Office-Dateien, die aus dem Internet heruntergeladen wurden, standardmäßig zu blockieren. Dadurch waren die Bedrohungsakteure gezwungen, ihre Vorgehensweisen anzupassen und zu diversifizieren.
Die Wiederkehr von Bumblebee fällt auch mit dem Auftauchen neuer Varianten von QakBot, ZLoader und PikaBot zusammen. Beispielsweise wurden QakBot-Samples in Form von Microsoft Software Installer (MSI)-Dateien verbreitet. Das Unternehmen Sophos erklärte, dass „.MSI eine Windows .cab (Cabinet)-Archivdatei ablegt, die wiederum eine DLL enthält. Das .MSI extrahiert die DLL aus der .cab und führt sie mit Shellcode aus. Der Shellcode bewirkt das Erzeugen einer zweiten Kopie der DLL und das Injizieren des Bot-Codes in den Speicher der zweiten Instanz.“ Die neuesten QakBot-Artefakte haben eine verbesserte Verschlüsselung, die dazu dient, Zeichenfolgen und andere Informationen zu verbergen. Dazu wird unter anderem eine Krypter-Malware namens DaveCrypter eingesetzt, was die Analyse erschwert. Diese neue Generation stellt zudem die Fähigkeit wieder her, zu erkennen, ob die Malware in einer virtuellen Maschine oder einem Sandbox-System ausgeführt wird.
Eine weitere wichtige Änderung besteht darin, dass alle Kommunikation zwischen der Malware und dem Command-and-Control (C2)-Server mit AES-256 verschlüsselt wird. Diese Methode ist stärker als bei den Versionen vor der Zerschlagung der QakBot-Infrastruktur im August 2023. Andrew Brandt, Hauptforscher bei Sophos X-Ops, erklärte: „Die Zerschlagung der QakBot-Botnet-Infrastruktur war ein Erfolg, aber die Schöpfer des Bots sind weiterhin frei, und jemand, der Zugang zum ursprünglichen Quellcode von QakBot hat, experimentiert mit neuen Versionen und testet sie mit diesen neuesten Varianten aus.“ Dies geschieht parallel zu einer neuen Malwarebytes-Kampagne, bei der Phishing-Websites, die Finanzinstitute wie Barclays imitieren, potenzielle Opfer dazu verleiten, legitime Remote-Desktop-Software wie AnyDesk herunterzuladen, um angeblich nicht vorhandene Probleme zu lösen und letztendlich den Angreifern die Kontrolle über die Maschine zu ermöglichen.