BundleBot البرامج الضارة

هناك متغير من البرامج الضارة المهددة يسمى BundleBot يعمل سراً ، ويتجنب الكشف عن طريق الاستفادة من تقنيات نشر الملف الفردي لـ .NET. تسمح هذه الطريقة للجهات الفاعلة في التهديد بالتقاط المعلومات الحساسة من المضيفين المخترقين خلسة.

يُعرف BundleBot باستغلال تنسيق حزمة dotnet (ملف واحد) ذاتيًا ، مما يجعل اكتشاف أنظمة الأمان أمرًا صعبًا. ينتج عن ذلك اكتشاف منخفض جدًا أو حتى منعدمة للكشف الثابت ، مما يسمح للبرامج الضارة بالبقاء غير مكتشفة لفترات طويلة على الأجهزة المعرضة للخطر.

وفقًا لنتائج خبراء الأمن السيبراني ، يحدث توزيع BundleBot عادةً من خلال إعلانات Facebook والحسابات المخترقة ، مما يؤدي إلى توجيه المستخدمين المطمئنين إلى مواقع الويب التي تتنكر في شكل أدوات مساعدة للبرامج العادية وأدوات الذكاء الاصطناعي والألعاب. بمجرد وصول المستخدمين إلى هذه المواقع المخادعة ، فإنهم يقومون عن غير قصد بتنزيل البرامج الضارة وتنفيذها ، مما يعرض أنظمتهم وبياناتهم الحساسة للخطر.

يستفيد مجرمو الإنترنت من أدوات الذكاء الاصطناعي الشائعة كغراء للتصيد الاحتيالي

اعتمدت مواقع الويب المتصلة بهجمات BundleBot Malware أسلوب تقليد Google Bard ، وهو روبوت محادثة بارز يعمل بالذكاء الاصطناعي للمحادثة طورته الشركة. تغري هذه المواقع المخادعة الضحايا المطمئنين من خلال تقديم رابط تنزيل يبدو مغريًا لأرشيف RAR باسم "Google_AI.rar". والجدير بالذكر أن هذه المحفوظات الاحتيالية تتم استضافتها على خدمات تخزين سحابية شرعية مثل Dropbox.

إن استخدام Google Bard كإغراء ليس شيئًا جديدًا ، بالنظر إلى الشعبية المتزايدة لأدوات الذكاء الاصطناعي. استفاد مجرمو الإنترنت من هذا الاتجاه في الأشهر الأخيرة لخداع المستخدمين ، لا سيما على منصات مثل Facebook. يستخدمون هذه الاستراتيجية لتوزيع أنواع مختلفة من البرامج الضارة لجمع المعلومات خلسة ، مثل Doenerium سيئ السمعة.

غالبًا ما يحدث توزيع هذه الروابط غير الآمنة من خلال إعلانات Facebook وحسابات المستخدمين المخترقة. تم استغلال هذه الطريقة باستمرار من قبل الجهات الفاعلة في التهديد لبعض الوقت. من خلال الجمع بين تكتيك التوزيع هذا وقدرة البرامج الضارة على سرقة معلومات حساب الضحية على Facebook ، ينشئ مجرمو الإنترنت دورة مكتفية ذاتيًا تغذي أنشطتهم الضارة.

سلسلة العدوى لتهديد البرامج الضارة لـ BundleBot

عند فك ضغط أرشيف "Google_AI.rar" ، سيجد المستخدمون ملفًا قابلاً للتنفيذ باسم "GoogleAI.exe" ، وهو عبارة عن ملف .NET واحد ، تطبيق مستقل بذاته. بدوره ، يشتمل هذا التطبيق أيضًا على ملف DLL يسمى "GoogleAI.dll" ، وهو المسؤول عن جلب أرشيف ZIP محمي بكلمة مرور من Google Drive.

في المرحلة التالية ، تكشف المحتويات المستخرجة من ملف ZIP المسمى "ADSNEW-1.0.0.3.zip" عن تطبيق .NET مفرد آخر مستقل بذاته يُعرف باسم "RiotClientServices.exe". يحمل هذا التطبيق حمولة BundleBot "RiotClientServices.dll" ، بالإضافة إلى مُسلسل بيانات حزم الأوامر والتحكم (C2) المسمى "LirarySharing.dll".

بمجرد تنشيطه ، يعمل BundleBot Malware باعتباره روبوتًا / روبوتًا مخصصًا وجديدًا. يستخدم مكتبة "LirarySharing.dll" لمعالجة بيانات الحزمة المرسلة أثناء اتصال الروبوت بخادم C2 وتسلسلها. لتجنب التحليل ، تستخدم المصنوعات الثنائية تقنيات تشويش مخصصة وتتضمن قدرًا كبيرًا من الشفرة غير المرغوب فيها.

تهدد البرامج الضارة لـ BundleBot وظائف تطفلية

قدرات البرمجيات الخبيثة تنذر بالخطر. يمكنه استخراج البيانات خلسة من متصفحات الويب ، والتقاط لقطات شاشة ، والحصول على رموز Discord ، وجمع المعلومات من Telegram ، وجمع تفاصيل حساب Facebook. تعمل البرامج الضارة كروبوت متطور لسرقة البيانات ، مما يعرض المعلومات الحساسة من مصادر مختلفة للخطر دون علم المستخدم.

ومن المثير للاهتمام ، أن هناك عينة ثانية من BundleBot ، متطابقة تقريبًا في جميع الجوانب باستثناء اختلاف رئيسي واحد. يستفيد هذا المتغير من HTTPS لسحب المعلومات المسروقة إلى خادم بعيد. يتم تسريب البيانات المسروقة كأرشيف ZIP ، مما يسمح للمهاجمين بنقل معلومات الضحية بتكتم دون إثارة الشكوك.