Исследователи компании SecureWorks сообщили о новой кампании по распространению вредоносного ПО Bumblebee. Этот зловред, сам по себе являющийся загрузчиком других вредоносных программ, был впервые обнаружен в апреле прошлого года. Предположительно, он создан хакерской группировкой Conti в качестве замены их предыдущего инструмента, бэкдора BazarLoader. С сентября 2022 года в атаках используется более новая версия Bumblebee, которая загружает заловред непосредственно в память устройств, что чрезвычайно затрудняет его обнаружение. Программа ориентирована на распространение в крупных корпоративных сетях.

В ходе кампании, описанной специалистами SecureWorks, вредоносное ПО Bumblebee распространяется через поддельную рекламу таких популярных программ как Zoom, Cisco AnyConnect, ChatGPT и Citrix Workspace. Через скомпрометированный сайт WordPress реклама перенаправляет пользователей на фальшивую страницу загрузки. Оттуда, наряду с установщиком самого приложения, на устройство загружается и PowerShell-скрипт, который внедряет в память Bumblebee.

Затем это вредоносное ПО позволяет установить на инфицированное устройство множество различных зловредов. В частности, исследователи описали ситуацию, когда вскоре после первичного заражения в систему были загружены инструмент Cobalt Strike, программы удаленного доступа AnyDesk и DameWare, похититель учетных данных Kerberos и ряд других вредоносных программ. В дальнейшем это позволяет организаторам атак похищать конфиденциальные данные и осуществлять инфицирование систем вымогательскими программами.