Теперь малварь Bumblebee маскируется под WinMTR и Zenmap

[WWW]

Недавно стало известно, что загрузчик малвари Bumblebee распространялся через взломанный сайт RVTools. Как выяснилось теперь, хакеры также злоупотребляют популярностью Zenmap (GUI для Nmap) и WinMTR (утилита для диагностики сетевых соединений).



Оба инструмента обычно используются ИТ-специалистами для диагностики и анализа сетевого трафика. При этом для работы некоторых функций требуются привилегии администратора, что делает таких пользователей удобной мишенью для злоумышленников, которые стремятся проникнуть в корпоративные сети и распространить малварь на другие устройства.



Как сообщает издание Bleeping Computer, Bumblebee распространялся как минимум через два домена — zenmap[.]pro и winmtr[.]org. Если последний уже отключен, то первый по-прежнему работает и если зайти по прямой ссылке, отображает фальшивую страницу блога о Zenmap, со сгенерированными ИИ статьями.







Если же пользователя перенаправили на zenmap[.]pro из результатов поиска, он видит клон легитимного сайта утилиты nmap (Network Mapper).







Отмечается, что трафик на эти сайты поступает благодаря отравлению SEO, и они занимают высокие позиции в результатах поиска Google и Bing по соответствующим запросам.







Полезные нагрузки, доставляемые с этих сайтов, (zenmap-7.97.msi и WinMTR.msi) не обнаруживаются большинством антивирусных решений на VirusTotal. При этом инсталляторы действительно содержат обещанное приложение, но вместе с ним поставляется вредоносная DLL (как в случае с RVTools), которая заражает устройство пользователя загрузчиком Bumblebee.



Такой бэкдор может использоваться для сбора информации о жертве и внедрения дополнительной полезной нагрузки, включая стилеры, вымогательское ПО и другие виды малвари.



Кроме того, журналисты сообщили, что наблюдали аналогичную кампанию, нацеленную не только на тех, кто ищет опенсорсный софт, но и на людей, ищущих софт для управления камерами безопасности WisenetViewer компании Hanwha.



В свою очередь ИБ-исследователь Джо Вриден (Joe Wrieden) из компании Cyjax обнаружил троянизированную версию Milestone XProtect, которая является частью этой же кампании: вредоносные инсталляторы размещены на milestonesys[.]org.



Стоит отметить, что ранее взломанные официальные домены RVTools (Robware.net и RVTools.com) по-прежнему отображают предупреждение о том, что пользователям не следует загружать софт из неофициальных источников, но ссылки на загрузку отсутствуют.



При этом в Dell Technologies отвергают все обвинения и заявляют, что сайты компании не распространяли троянизированный вариант RVTools. В компании сообщили, что официальные сайты RVTools временно отключены, поскольку стали объектами DDoS-атак.



@ xakep.ru