Компания Cyjax обнаружила новую кампанию по распространению вредоносного загрузчика Bumblebee через поддельные сайты, использующие SEO-отравление в поисковой системе Bing. Злоумышленники создали мошеннические страницы для популярных программ WinMTR и Milestone XProtect, чтобы обманом заставить пользователей загрузить троянизированные установщики.
Описание
Как работает атака?
Злоумышленники зарегистрировали домены, похожие на официальные, например, winmtr[.]org вместо winmtr[.]net, и с помощью SEO-оптимизации добились их появления в топе результатов Bing по запросам «WinMTR download» и «Milestone XProtect download». При переходе по ссылке из поиска пользователь видит точную копию легального сайта, однако вместо оригинального ZIP-архива предлагается вредоносный MSI-файл. Установщик загружается с внешнего сервера software-server[.]online и, помимо легитимного ПО, доставляет вредоносную DLL version.dll и исполняемый файл icardagt.exe, которые запускают Bumblebee.
Цели и последствия
Bumblebee — это сложный загрузчик, ранее связанный с группировкой Conti. После заражения он подключается к командным серверам в доменной зоне .life, что позволяет злоумышленникам загружать дополнительные вредоносные модули, включая программы-вымогатели. Аналитики предполагают, что злоумышленники расширяют кампанию, добавляя новые жертвы через SEO-отравление.
Пользователям рекомендуется скачивать ПО только с официальных сайтов, проверять домены на опечатки и использовать антивирусные решения для блокировки подозрительных файлов. На данный момент Microsoft, владелец Bing, не прокомментировал ситуацию. Эксперты рекомендуют поисковым системам усилить мониторинг SEO-спама для предотвращения подобных атак.
Индикаторы компрометации
Domains
- 19ak90ckxyjxc.life
- 5395dg0j4h79n.life
- 7oo4hxt5haih5.life
- 85ur7zivhczam.life
- 8sg769rvpe1lp.life
- 8vh7uizstjhnb.life
- 9b10t4vyvx6b5.life
- 9nl2a1qma4swd.life
- 9vgvnzk51j1sy.life
- apsgw881ol7rs.life
- cp2br7osw928r.life
- evzftxl2qjfj4.life
- ey8axyn00x8sf.life
- ey9n44bwtmjaw.life
- gc9fctjq62t2e.life
- hoieva2gl9tzx.life
- inkja7hekgcuv.life
- j34duklow92k3.life
- jbrprj8im7aia.life
- kks80hyrpbmuz.life
- lhunevjdxw5kz.life
- milestonesys.org
- nl2jkkuqs8efp.life
- o2u1xbm9xoq4p.life
- oknzqkp6ph302.life
- r4a4n001s7uhi.life
- r976ptnxbh52l.life
- rdg0u5n7237r5.life
- rlq13ng659buz.life
- rmqa3jodwcmgd.life
- software-server.online
- trtiqjiry7k05.life
- tv9jc206cpnyd.life
- u8karkeeu2qtj.life
- v30ty639krk3p.life
- wi88w99xo9zlt.life
- winmtr.org
- xf30997j6tp8z.life
- xwn7sukhzhbqv.life
- zom3rkt078g1k.life
MD5
- 28c0caed1c9c242f60c8e0884ccbf976
- a67fa1a060c07934c3de8612aaa0ebc2
- ea966dbfdd3f777727c827719e668f94
SHA1
- 0e6abeb79a84fc3e7683c5439607c8a17ef6ae77
- 3437f8372c7d455085d24460147f27f6e2c009f5
- d1c5b38d3d91f925b16d616c1c9d3e05542f025d
SHA256
- 31dd6d070a65a648b2be9ea2edc9efca26762c3875a8dde2d018eb064bc41e32
- 96480ef5ccfa8fcb0646538c440103d97ab741ed83f4c2bcb7b4717569f88770
- c6d5d2fff2cc422aca6dd5538f8351b8f2107a07a0df1f3ad8d69b050951ca1e