به گزارش کارگروه حملات سایبری سایبربان؛ نسخه جدیدی از بدافزار لود کننده Bumblebee (بامبِل بی) در حملات شناسایی شده که دارای زنجیره آلودگی جدید می باشد و از چارچوب PowerSploitبرای تزریق مخفیانه یک پی لود DLL در مموری استفاده می کند.
این روش فایل تعبیه شده را اعتبارسنجی می کند و با بررسی های چندگانه از بارگذاری درست فایل بر روی سیستم هدف اطمینان حاصل می کند.
روش فوق الذکر امکان شناسایی شدن توسط ابزارهای آنتی ویروس را به حداقل ممکن خواهد رساند.
بامبل بی در ماه آوریل و در کمپین های فیشینگی شناسایی شد که توسط عاملین بازار لودر و تریک بات کنترل می شود.
نرخ انتشار این لود کننده به طرز قابل توجهی افزایش یافته است. طبق گزارش سایبل، عاملین سعی دارند با استفاده از یک جریان اجرایی جدید به وقفه تابستانه خود در عملیات های اسپم پایان دهند.
بامبل بی پیش از این از طریق ایمیل هایی به قربانیان دسترسی پیدا می کرد که دارای فایل های ISO زیپ شده بودند. این فایل ها نیز شامل یک LNK و یک فایل DLL بودند.
بامبل بی اما در حملات اخیر به جای ISO از یک فایل هارد دیسک مجازی استفاده کرده که آن هم دارای یک فایل LNK می باشد.
LNK حالا به جای اجرای مستقیم بامبل بی، "imagedata.ps1," را به اجرا درمی آورد و از طریق سوء استفاده از فرمان 'ShowWindow'، یک پنجره پاورشل را راه اندازی و آن را از دید کاربر پنهان می کند.
