Открываешь Zenmap — запускаешь Bumblebee. Добро пожаловать на новый уровень социальной инженерии

Кибермошенники расширили масштабы атаки Bumblebee , нацеленной на пользователей популярного ПО: создали поддельные сайты, имитирующие легитимные проекты с открытым исходным кодом, и продвигают их через поисковую оптимизацию. Ранее на этой неделе специалисты обнаружили мошенническую кампанию, использующую бренд RVTools, однако расследование показало гораздо более широкую сеть фальшивых ресурсов.

Исследователи из BleepingComputer выявили новые домены, эксплуатирующие репутацию известных утилит сетевого администрирования. Преступники создали копии сайтов Zenmap — графической оболочки для сканера сети Nmap, а также программы трассировки маршрутов WinMTR. Подобная тактика позволяет злоумышленникам перехватывать трафик пользователей, ищущих необходимые инструменты через поисковые системы.

Вредоносный загрузчик Bumblebee распространяется минимум через два поддельных домена: zenmap[.]pro и winmtr[.]org. Второй ресурс в настоящее время недоступен, тогда как первый продолжает функционировать и демонстрирует различное содержимое в зависимости от способа доступа посетителей. При прямом обращении к сайту пользователи видят фальшивый блог с материалами о программе Zenmap.

Совершенно иная картина открывается перед теми, кто попадает на ресурс через результаты поисковых запросов. Система автоматически определяет источник трафика и подменяет содержимое страницы точной копией официального веб-сайта утилиты Network Mapper. Подобная технология позволяет мошенникам максимально точно имитировать легитимные ресурсы, вводя в заблуждение даже опытных админов.

Поддельные сайты занимают высокие позиции в результатах поиска Google и Bing благодаря применению техник SEO-отравления. По классиве преступники оптимизируют контент под ключевые запросы, связанные с целевым ПО, искусственно повышая рейтинг мошеннических ресурсов. Поисковые алгоритмы воспринимают подобные страницы как релевантные и авторитетные источники информации.

Прямое посещение фальшивой страницы Zenmap открывает перед потенциальной жертвой несколько статей, созданных при помощи искусственного интеллекта. Материалы выглядят профессионально написанными и содержат технические подробности о сетевом сканировании. Такой контент должен убедить посетителей в подлинности ресурса и усыпить их бдительность при скачивании программ.

Опасные файлы скрываются в разделе загрузок под именами zenmap-7.97.msi и WinMTR.msi, точно копирующими названия официальных дистрибутивов. Оба установщика успешно обходят большинство антивирусных движков на платформе VirusTotal, что серьёзно затрудняет их выявление как вредоносных. Высокий уровень маскировки достигается за счет внедрения опасного кода в легитимные исполняемые файлы.

Установочные пакеты действительно инсталлируют заявленные приложения, сохраняя их полную функциональность. Однако параллельно с основной программой в систему проникает вредоносная динамическая библиотека, содержащая загрузчик Bumblebee. Такая схема позволяет преступникам долго оставаться незамеченными, поскольку целевое ПО работает без видимых нарушений.

Bumblebee функционирует как многофункциональный бэкдор, способный изучать заражённую систему и подгружать дополнительные вредоносные модули. Анализ жертвы включает сбор данных об установленном софте, сетевых настройках и правах доступа текущего пользователя. Полученные сведения передаются операторам, которые решают, как действовать дальше.

В зависимости от ценности цели злоумышленники могут развернуть различные типы вредоносов. Это могут быть похитители паролей и личных данных, программы-шифровальщики для вымогательства, а также инструменты удалённого администрирования. Модульная архитектура позволяет настроить атаку под специфику каждой заражённой машины.

Более того, исследователи обнаружили, что кампания распространилась на другие популярные продукты. Мошенники создали поддельные версии программы управления камерами видеонаблюдения WisenetViewer от южнокорейской компании Hanwha. Аналогичную тактику применяют для компрометации пользователей, которые ищут специализированное ПО безопасности.

Специалист по кибербезопасности Джо Вриден из компании Cyjax выявил троянизированную версию системы видеоменеджмента Milestone XProtect в рамках той же . операции. Вредоносные установщики распространяются через домен milestonesys[.]org, который остаётся активным и сейчас. То, что список целевых приложений расширяется, говорит о систематическом характере атаки.

Официальные сайты RVTools — robware.net и rvtools.com — до сих пор показывают предупреждения об опасности скачивания ПО с неофициальных источников. При этом сами ресурсы не предоставляют ссылки для безопасной загрузки утилиты, ставя пользователей в затруднительное положение.

Корпорация Dell Technologies официально опровергла обвинения в том, что через её ресурсы распространяются заражённые версии RVTools. Представители подчеркнули, что официальные сайты продукта отключили из-за массированных DDoS-атак, а не из-за компрометации серверов. Теперь, вероятно, рассчитывают, что их заявление восстановит доверие к бренду и снимет подозрения в халатности.

То, что официальные порталы загрузки отключены, может быть частью стратегии киберпреступников по увеличению трафика на мошеннические ресурсы. Распределённые атаки на отказ в обслуживании создают искусственный дефицит легитимных источников ПО. Пользователи, которые не могут получить доступ к официальным сайтам, вынуждены обращаться к сторонним источникам и попадают в расставленные ловушки.

Чтобы защититься от подобных угроз, специалисты рекомендуют скачивать ПО исключительно с официальных сайтов разработчиков или проверенных репозиториев пакетов. Дополнительной мерой предосторожности может послужить сверка хеш-сумм скачанных файлов с контрольными значениями, также размещёнными на легитимных ресурсах.