Des acteurs malveillants diffusent le malware Bumblebee à travers des sites frauduleux qui imitent les pages de téléchargement officielles de Zenmap et WinMTR. Ces faux sites s’affichent en tête des résultats sur les moteurs de recherche grâce à des techniques d’empoisonnement SEO, incitant les utilisateurs à télécharger des fichiers ISO contenant des loaders Bumblebee. Une fois exécutés, ces loaders installent Bumblebee, qui agit comme un broker d’accès initial, permettant aux attaquants de se déplacer latéralement et de déployer des ransomwares. Les chercheurs ont retracé la campagne jusqu’au mois de février et identifié plusieurs domaines en typosquatting. Les fichiers ISO sont conçus avec des icônes trompeuses et des exécutables dissimulés pour échapper à la détection. Bumblebee a déjà été associé à des groupes de ransomware majeurs comme Conti et Quantum.
Analyse de nos experts :
Ce qui rend cette campagne particulièrement dangereuse, c’est son exploitation directe du comportement utilisateur et de l’usage courant des moteurs de recherche. Il n’y a ici ni email de phishing à bloquer, ni lien malveillant dans un message suspect. Les attaquants transforment une simple recherche de logiciel en vecteur d’infection. Le recours aux fichiers ISO avec exécutables embarqués révèle une volonté claire de contourner les méthodes de détection traditionnelles. Ce n’est pas de l’innovation. C’est de l’opportunisme à ciel ouvert, rendu possible par une régulation laxiste des noms de domaine et l’indifférence des algorithmes….
Lire l’article complet ici.
