Специалисты по кибербезопасности обнаружили масштабную вредоносную кампанию, в рамках которой злоумышленники распространяют загрузчик малвари Bumblebee через поддельные версии популярных сетевых инструментов. После недавнего инцидента с RVTools хакеры расширили свою деятельность, нацелившись на пользователей Zenmap и WinMTR — широко используемых утилит для сетевой диагностики.
Механизм атаки и распространение вредоносного ПО
Злоумышленники создали фишинговые домены zenmap[.]pro и winmtr[.]org, имитирующие официальные ресурсы. Особую опасность представляет то, что эти сайты достигли высоких позиций в поисковой выдаче Google и Bing благодаря техникам отравления SEO. При этом домен zenmap[.]pro демонстрирует различное поведение в зависимости от источника трафика: прямые посетители видят поддельный блог, а пользователи из поисковых систем попадают на убедительную копию легитимного сайта Nmap.
Особенности вредоносной кампании
Распространяемые через поддельные сайты инсталляторы (zenmap-7.97.msi и WinMTR.msi) содержат как легитимное программное обеспечение, так и вредоносную DLL. Примечательно, что большинство антивирусных решений не определяют эти файлы как вредоносные. После установки происходит внедрение загрузчика Bumblebee, который может использоваться для кражи данных и распространения дополнительного вредоносного ПО.
Расширение масштабов атаки
Исследователи выявили, что кампания затрагивает не только открытое ПО для сетевой диагностики. Обнаружены случаи распространения троянизированных версий программного обеспечения для управления системами видеонаблюдения, включая WisenetViewer от Hanwha и Milestone XProtect. Специалист по информационной безопасности Джо Вриден из компании Cyjax подтвердил обнаружение вредоносных инсталляторов на домене milestonesys[.]org.
В свете участившихся атак специалисты рекомендуют пользователям проявлять особую бдительность при загрузке программного обеспечения и использовать только официальные источники. Особенно важно верифицировать подлинность загружаемых файлов, когда речь идет о программах, требующих административных привилегий. Организациям следует усилить мониторинг сетевой активности и обновить политики безопасности, касающиеся установки программного обеспечения на корпоративные устройства.
