:mastodon: decio<p>On parlait la semaine passée des faux Keepass poussés via publicité Google malveillante (malvertising)...</p><p>Voici un autre exemple tout chaud, spotté par BleepingComputer : une fausse version de l'outil open-source Zenmap (Nmap), ainsi qu’un faux WinMTR, sont utilisés pour livrer le malware Bumblebee.<br>⬇️ <br>Cette fois via "SEO poisoning" sur Google & Bing. (C’est une technique qui consiste à manipuler les résultats des moteurs de recherche pour faire apparaître en tête de page de faux sites — souvent très bien imités — afin de piéger les internautes)<br> Ici, les attaquants ont cloné les pages de téléchargement de Zenmap (l’interface graphique de Nmap) et WinMTR (outil de traceroute réseau), deux utilitaires très utilisés par les pros de l’IT.</p><p>Les sites en question (zenmap[.]pro, winmtr[.]org) semblaient parfaitement légitimes.<br>Mais les installeurs .msi proposés contiennent en réalité un loader du malware Bumblebee, furtif et non détecté par la majorité des antivirus (VirusTotal donne quasi tout vert).</p><p>Ce que fait Bumblebee :</p><ul><li><p>Installe l’outil promis… mais avec une DLL infectée.</p></li><li><p>Ouvre une backdoor : profilage de la victime, puis possible déploiement de ransomware, infostealers, ou d’autres malwares.</p></li><li><p>Idéal pour une attaque en deux temps (initial access + mouvement latéral).</p></li></ul><p>[Source]<br>⬇️ <br>📰 "Fake Zenmap. WinMRT sites target IT staff with Bumblebee malware — BleepingComputer"<br>👇 <br><a href="https://www.bleepingcomputer.com/news/security/fake-zenmap-winmrt-sites-target-it-staff-with-bumblebee-malware/" rel="nofollow noopener" translate="no" target="_blank"><span class="invisible">https://www.</span><span class="ellipsis">bleepingcomputer.com/news/secu</span><span class="invisible">rity/fake-zenmap-winmrt-sites-target-it-staff-with-bumblebee-malware/</span></a></p><p><a href="https://infosec.exchange/tags/SEOpoisoning" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>SEOpoisoning</span></a> <a href="https://infosec.exchange/tags/Bumblebee" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>Bumblebee</span></a> <a href="https://infosec.exchange/tags/Nmap" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>Nmap</span></a> <a href="https://infosec.exchange/tags/cyberveille" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>cyberveille</span></a></p>