Malware
Bumblebee: Neuer Schädling verantwortlich für aktuelle Trojaner
Finden sich im Netzwerk Hinweise auf „Bumblebee“, sollten Sie schnell reagieren. Der Schädling scheint Ausgangspunkt vieler aktueller Trojaner zu sein.
Das Symantec Threat Hunter Team berichtet mit Bumblebee über einen neuen Schädling, der ein Bindeglied zwischen einigen aktuellen Trojanern zu sein scheint. Einmal im System eingenistet, werden unauffällig Daten ausgespäht und verschiedene Ransomware von aktiven Bedrohungsgruppen wie Conti, Quan...
Das Symantec Threat Hunter Team berichtet mit Bumblebee über einen neuen Schädling, der ein Bindeglied zwischen einigen aktuellen Trojanern zu sein scheint. Einmal im System eingenistet, werden unauffällig Daten ausgespäht und verschiedene Ransomware von aktiven Bedrohungsgruppen wie Conti, Quantum und Mountlocker heruntergeladen.
Das Sicherheits-Team des Softwareherstellers beschreibt auf seinem Blog, wie ein solcher Angriff eingeleitet wurde und vonstattenging. Den Anfang macht eine Spearphishing-E-Mail, bei der mit persönlichen Informationen gezielt sensible Daten erspäht werden. Im Anhang der schädlichen Mail befindet sich ein ISO-Archiv mit einer Bumblebee-DLL und einer LNK-Datei. Damit nistet sich der Schädling über den Windows-Prozess rundll32.exe ein.
Bumblebee nimmt dann Kontakt mit einem Command-and-Control-Server auf und macht sich im Ordner für App-Daten („%APPDATA%“) unter anderem mit einer VBS-Datei breit. Über die Aufgabenplanung wird dieses Skript alle 15 Minuten ausgeführt. Zum einen werden über ein Werbetool („AdFind“) Daten gesammelt und zum anderen eine „Metasploit-DLL“-Malware in gewöhnliche Windows-Prozesse injiziert.
Nachdem dies abgeschlossen war, hat Bumblebee den Erpressungs-Trojaner Quantum auf den Rechner geladen, der Daten verschlüsselte und sperrte. Die Sicherheitsexperten gehen wegen des Einsatzes der genannten Tools und anderer Parallelen davon aus, dass Bumblebee nicht nur Verbindungen zu den Ransomware-Gruppen vermuten lässt, sondern auch ein Ersatz bzw. Nachfolger von bisher aufgetauchten Ransomware-Loadern sein könnte.
Bumblebee wird von der Symantec-Gruppe als Schlüssel-Tool angesehen. Admins und auch konventionelle Nutzende sollten bei entsprechenden Funden und Aktivitäten auf ihrem System und in ihrem Netzwerk aufhorchen. Für einen wirksamen Schutz gelten generelle Sicherheits-Tipps – wie etwa E-Mails mit Anhängen aus fremden wie (scheinbar) bekannten Quellen genau zu prüfen. Ebenso sollten Sie sich durch Nachrichten jeder Art nicht auf unbekannte Webseiten verirren, die ein ähnliches Risiko bergen.
