Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il malware Bumblebee riceve un aggiornamento che gli permette un nuovo vettore di infezione

Il malware Bumblebee riceve un aggiornamento che gli permette un nuovo vettore di infezione

14 Settembre 2022 07:43

Secondo il rapporto Cyble, basato su una scoperta del ricercatore di minacce Max Malyutin, la nuova versione del loader di malware Bumblebee ha ora una nuova catena di infezione che utilizza il framework PowerSploit per iniettare di nascosto il payload DLL nella memoria (Reflective DLL Injection).

Come parte dell’attacco, gli hacker inviano tramite e-mail file VHD (disco rigido virtuale) compressi protetti da password che contengono un file LNK per eseguire il payload.

File utilizzati nella campagna

Invece di eseguire direttamente Bumblebee (DLL), avvia una finestra di PowerShell e la nasconde all’utente con il comando “ShowWindow”.

La prima fase dell’infezione usa Base64 e la concatenazione di stringhe per evitare il rilevamento da parte del software antivirus durante il caricamento della seconda fase del loader PowerShell.

Il secondo stadio ha lo stesso offuscamento del primo e contiene il modulo PowerSploit per caricare Bumblebee nella memoria di un processo PowerShell utilizzando la tecnica Reflective DLL Injection.

PowerSploit è uno strumento di post-sfruttamento open source in cui il malware utilizza il metodo “Invoke-ReflectivePEInjection” per caricare una DLL in un processo di PowerShell. Questo metodo controlla il file incorporato al suo interno ed esegue diversi controlli per assicurarsi che tale file sia caricato correttamente nel sistema in esecuzione.

Il nuovo metodo di avvio consente a Bumblebee di eseguire l’avvio dalla memoria e non interagire mai con il disco dell’host, riducendo al minimo le possibilità di rilevamento.

Aumentando la sua invisibilità, Bumblebee diventa una minaccia più potente come accesso iniziale e aumenta le sue possibilità di attirare operatori di ransomware e altri malware che sono alla ricerca di modi per distribuire i loro malware.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Marcello Filacchioni 300x300
ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.
Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations. 

Articoli in evidenza

Immagine del sitoCybercrime
Initial Access Broker (IaB): Sempre più una comodity nei mercati underground
Luca Stivali - 03/02/2026

Nel mondo dell’underground criminale, il lavoro si divide tra “professionisti”. C’è chi sviluppa ed esercisce il ransomware, c’è chi vende un accesso iniziale alle aziende e c’è chi sfrutta l’accesso iniziale per condurre attacchi informatici…

Immagine del sitoCyber News
Microsoft Office sotto attacco: il bug da patchare per evitare spionaggio russo
Bajram Zeqiri - 03/02/2026

Negli ultimi giorni, APT28, noto gruppo di hacker legato alla Russia, ha intensificato gli attacchi sfruttando una vulnerabilità di Microsoft Office. La falla, catalogata come CVE‑2026‑21509, è stata resa pubblica da Microsoft pochi giorni prima…

Immagine del sitoDiritti
La governance dei flussi di dati tra Direttiva NIS 2 e responsabilità penale omissiva
Paolo Galdieri - 03/02/2026

Dopo aver analizzato nei precedenti contributi il perimetro dei reati informatici e i rischi legati alle manovre di difesa attiva, è necessario compiere un ultimo passo verso la comprensione della cybersecurity moderna ovvero il passaggio…

Immagine del sitoCyber Italia
Formazione avanzata in OSINT: la Polizia Postale rafforza le indagini nel cyberspazio
Massimiliano Brolli - 03/02/2026

Si è concluso la scora settimana, presso la Scuola Allievi Agenti della Polizia di Stato di Vibo Valentia, il corso di formazione specialistica in OSINT – Open Source Intelligence, rivolto agli operatori della Polizia Postale.…

Immagine del sitoCyber Italia
Aggiornamento attacco hacker della Sapienza. Il comunicato agli studenti dal prorettore
Redazione RHC - 02/02/2026

Poco fa, l’Università La Sapienza intorno alle 12:28 ha confermato di essere stata vittima di un attacco informatico che ha costretto al blocco temporaneo di tutti i sistemi digitali dell’ateneo. A darne informazione è il…