資安廠商 Secureworks 旗下的資安專家近日指出，近來發現一個名為 Bumblebee 的惡意軟體，利用 Google 關鍵字廣告與 SEO 投毒（SEO Poisoning）方法，設立多個冒充多種知名軟體或服務的假冒網站，用以散布該惡意軟體。

遭到冒名設立假網站的知名軟體與服務，包括 Zoom、Cisco AnyConnect、ChatGPT、Citrix Workspace 等。

據 Secureworks 指出，Bumblebee 惡意軟體最早發現於 2022 年 4 月，疑似由惡名昭彰的勒贖團體 Conti 所開發，用來替換較老舊的 BazarLoader 後門軟體，其作用為取得受害者內部網路的存取權，以便執行勒贖攻擊。

在 Securewoks 觀察到的一個攻擊實例中，駭侵者先以一個遭到駭入的 WordPress 網站，設立一個冒充 Cisco AnyConnect 的假冒下載頁面，在頁面中的下載連結中放置已植入 Bumblebee 惡意軟體的 Cisco AnyConnect 安裝程式，然後利用 Google 關鍵字廣告吸引需要下載 Cisco AnyConnect 軟體的使用者上鉤。

使用者下載安裝時，除了會安裝到真正的 Cisco AnyConnect 外，還有另一個 PowerShell script 會安裝 Bumblebee 惡意軟體，該電腦就會成為勒贖攻擊的潛在對象。

Secureworks 另外也觀察到冒充為 Zoom、ChatGPT、Critix Workspace 的惡意安裝檔，也利用同樣的手法，先設立假冒下載點，然後利用 Google 關鍵字廣告或經強化 SEO、排名名列前茅的假網站吸引受害者進入。

建議使用者下載任何軟體時，都應提高警覺，注意自己是否真正使用官方網站下載，而非在來路不明或以假亂真的網站下載。

• 參考連結

Bumblebee Malware Distributed Via Trojanized Installer Downloads

https://www.secureworks.com/blog/bumblebee-malware-distributed-via-trojanized-installer-downloads

Google ads push BumbleBee malware used by ransomware gangs

https://www.bleepingcomputer.com/news/security/google-ads-push-bumblebee-malware-used-by-ransomware-gangs/