Negli ultimi giorni, è emersa una preoccupante catena di infezione informatica che ha attirato l’attenzione degli esperti di sicurezza. Il processo di attacco inizia con l’invio di email di phishing, le quali contengono un archivio ZIP. Questo archivio è insidioso: al suo interno si trova un file LNK che, una volta aperto, utilizza PowerShell per scaricare un file MSI da un server remoto.
Una volta scaricato, il file MSI viene copiato su disco con un nome diverso e avviato senza alcun intervento da parte dell’utente. Il file si presenta come l’installer dei driver NVIDIA o Midjourney, cercando di ingannare gli utenti e nascondere la vera natura del malware. Attraverso strumenti di Windows, l’installer riesce a caricare in memoria una DLL nota come Bumblebee.
Per evitare di destare sospetti, il malware sfrutta la tabella SelfReg presente nella struttura del file MSI, caricando la DLL nello spazio di indirizzi del processo msiexec. La configurazione di Bumblebee viene quindi decifrata tramite una chiave RC4, presente nel codice del malware.
Nonostante gli esperti di Netskope non abbiano fornito informazioni specifiche sui malware distribuiti attraverso questo loader, è noto che in passato è stato utilizzato per installare minacce come beacon Cobalt Strike, software di furto di informazioni e vari tipi di ransomware.
Questa scoperta sottolinea ancora una volta la resilienza dei cybercriminali. Sebbene le operazioni delle forze dell’ordine possano rallentare le loro attività, questi gruppi riescono a ricostruire rapidamente la propria infrastruttura e a lanciare nuovi attacchi con versioni aggiornate dei loro malware. È un promemoria della continua necessità di vigilanza e di sicurezza informatica per proteggere utenti e organizzazioni.