Redazione RHC : 14 Settembre 2022 07:43
Secondo il rapporto Cyble, basato su una scoperta del ricercatore di minacce Max Malyutin, la nuova versione del loader di malware Bumblebee ha ora una nuova catena di infezione che utilizza il framework PowerSploit per iniettare di nascosto il payload DLL nella memoria (Reflective DLL Injection).
Come parte dell’attacco, gli hacker inviano tramite e-mail file VHD (disco rigido virtuale) compressi protetti da password che contengono un file LNK per eseguire il payload.
Invece di eseguire direttamente Bumblebee (DLL), avvia una finestra di PowerShell e la nasconde all’utente con il comando “ShowWindow”.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La prima fase dell’infezione usa Base64 e la concatenazione di stringhe per evitare il rilevamento da parte del software antivirus durante il caricamento della seconda fase del loader PowerShell.
Il secondo stadio ha lo stesso offuscamento del primo e contiene il modulo PowerSploit per caricare Bumblebee nella memoria di un processo PowerShell utilizzando la tecnica Reflective DLL Injection.
PowerSploit è uno strumento di post-sfruttamento open source in cui il malware utilizza il metodo “Invoke-ReflectivePEInjection” per caricare una DLL in un processo di PowerShell. Questo metodo controlla il file incorporato al suo interno ed esegue diversi controlli per assicurarsi che tale file sia caricato correttamente nel sistema in esecuzione.
Il nuovo metodo di avvio consente a Bumblebee di eseguire l’avvio dalla memoria e non interagire mai con il disco dell’host, riducendo al minimo le possibilità di rilevamento.
Aumentando la sua invisibilità, Bumblebee diventa una minaccia più potente come accesso iniziale e aumenta le sue possibilità di attirare operatori di ransomware e altri malware che sono alla ricerca di modi per distribuire i loro malware.
Un’operazione globale di contrasto coordinata dall’Europol ha inferto un duro colpo alla criminalità underground, con 270 arresti tra venditori e acquirenti del dark web in dieci pa...
Una vulnerabilità zero-day nel kernel Linux, è stata scoperta utilizzando il modello o3 di OpenAI. Questa scoperta, alla quale è stata assegnata la vulnerabilità CVE-2025-37899, se...
In un preoccupante segnale dell’evoluzione delle tattiche cybercriminali, i threat actor stanno ora sfruttando la popolarità di TikTok come canale per la distribuzione di malware avanzati ...
Nelle ultime ore si è assistito a un grande clamore mediatico riguardante il “takedown” dell’infrastruttura del noto malware-as-a-service Lumma Stealer, con un’operazi...
Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006