Cyberkriminelle verbreiten die Malware Bumblebee über täuschend echt wirkende Webseiten, die offiziellen Download-Seiten von Zenmap und WinMTR nachempfunden sind. Diese Seiten erscheinen dank gezieltem SEO-Poisoning ganz oben in den Suchmaschinenergebnissen und verleiten ahnungslose Nutzer dazu, ISO-Dateien mit Bumblebee-Loadern herunterzuladen. Beim Ausführen installieren diese Loader Bumblebee, das als Initial Access Broker agiert. Dies ermöglicht den Angreifern laterale Bewegungen im Netzwerk und den Einsatz von Ransomware. Die Kampagne lässt sich bis Februar zurückverfolgen. Forscher identifizierten zahlreiche typosquattende Domains. Die ISO-Dateien sind mit irreführenden Icons und versteckten Executables ausgestattet, um Sicherheitsmechanismen zu umgehen. Bumblebee wurde bereits mit bekannten Ransomware-Gruppen wie Conti und Quantum in Verbindung gebracht.
Analyse unserer Experten:
Besonders gefährlich an dieser Kampagne ist die gezielte Ausnutzung alltäglicher Nutzergewohnheiten und des Vertrauens in Suchmaschinen. Kein Phishing-Mail, kein verdächtiger Link im Posteingang. Stattdessen wird eine normale Software-Recherche zur Infektionsquelle. Die Nutzung von ISO-Dateien mit eingebetteten Executables zeigt eine bewusste Strategie, klassische Erkennungsmethoden zu unterlaufen. Das ist keine Innovation. Das ist Opportunismus im Rampenlicht, ermöglicht durch schwache Domainregulierung und algorithmische Gleichgültigkeit. Wenn Nutzer kompromittiert werden, obwohl sie genau das tun, was man ihnen beigebracht hat — Tools über Suchmaschinen zu laden — dann hat Sicherheit auf systemischer Ebene bereits versagt.
Zum vollständigen Artikel.
