BundleBot Malware

Вариант на заплашителен злонамерен софтуер, наречен BundleBot, действа тайно, като избягва откриването чрез използване на техники за внедряване на един файл на .NET. Този метод позволява на участниците в заплахата да улавят скрито чувствителна информация от компрометирани хостове.

BundleBot е известен с това, че използва самостоятелния формат на dotnet bundle (единичен файл), което го прави предизвикателство за откриването на системите за сигурност. Това води до много ниско или дори нулево статично откриване, което позволява на зловредния софтуер да остане неоткрит за продължителни периоди на компрометираните устройства.

Според констатациите на експертите по киберсигурност, разпространението на BundleBot обикновено се осъществява чрез реклами във Facebook и компрометирани акаунти, водещи нищо неподозиращите потребители към уебсайтове, които се маскират като обикновени помощни програми, AI инструменти и игри. След като потребителите получат достъп до тези измамни уебсайтове, те несъзнателно задействат изтеглянето и изпълнението на зловреден софтуер, излагайки на риск своите системи и чувствителни данни.

Киберпрестъпниците се възползват от популярните AI инструменти като фишинг примамки

Уебсайтовете, свързани с атаките на BundleBot злонамерен софтуер, са възприели тактиката на имитиране на Google Bard, известен разговорен генериращ AI чатбот, разработен от компанията. Тези измамни уебсайтове примамват нищо неподозиращите жертви, като предлагат привидно примамлива връзка за изтегляне на RAR архив с име „Google_AI.rar“. Трябва да се отбележи, че тези измамни архиви се хостват в легитимни услуги за съхранение в облак като Dropbox.

Използването на Google Bard като примамка не е нещо ново, като се има предвид нарастващата популярност на AI инструментите. Киберпрестъпниците се възползваха от тази тенденция през последните месеци, за да измамят потребителите, особено на платформи като Facebook. Те използват тази стратегия за скрито разпространение на различни видове зловреден софтуер за събиране на информация, като прословутия Doenerium .

Разпространението на тези опасни връзки често става чрез Facebook реклами и компрометирани потребителски акаунти. Този метод е упорито използван от заплахи от известно време. Чрез комбиниране на тази тактика за разпространение със способността на злонамерения софтуер да краде информацията от акаунта на жертвата във Facebook, киберпрестъпниците създават самоподдържащ се цикъл, който се захранва с техните вредни дейности.

Веригата на заразяване на заплахата от злонамерен софтуер BundleBot

При разопаковане на архива „Google_AI.rar“, потребителите ще намерят изпълним файл с име „GoogleAI.exe“, който е .NET еднофайлово, самостоятелно приложение. На свой ред това приложение допълнително включва DLL файл, наречен „GoogleAI.dll“, отговорен за извличане на защитен с парола ZIP архив от Google Drive.

В следващия етап съдържанието, извлечено от ZIP файла, наречен „ADSNEW-1.0.0.3.zip“, разкрива друго .NET еднофайлово, самостоятелно приложение, известно като „RiotClientServices.exe“. Това приложение носи полезния товар на BundleBot „RiotClientServices.dll“, както и сериализатор на пакетни данни Command-and-Control (C2), наречен „LirarySharing.dll“.

Веднъж активиран, BundleBot Malware функционира като персонализиран и нов крадец/бот. Той използва библиотеката „LirarySharing.dll“, за да обработва и сериализира пакетните данни, предавани по време на комуникацията на бота със сървъра C2. За да избегнат анализа, бинарните артефакти използват специално създадени техники за обфускация и включват значително количество нежелан код.

Зловредният софтуер BundleBot има заплашителни натрапчиви функции

Възможностите на зловредния софтуер са тревожни. Той може скрито да извлича данни от уеб браузъри, да заснема екранни снимки, да придобива токени на Discord, да събира информация от Telegram и да събира подробности за акаунта във Facebook. Зловреден софтуер работи като сложен бот за кражба на данни, компрометиращ чувствителна информация от различни източници без знанието на потребителя.

Интересното е, че има втора проба на BundleBot, почти идентична във всички аспекти, с изключение на една ключова разлика. Този вариант използва HTTPS за ексфилтриране на открадната информация към отдалечен сървър. Откраднатите данни се ексфилтрират като ZIP архив, което позволява на нападателите дискретно да прехвърлят информацията на жертвата, без да предизвикват подозрение.