Programari maliciós BundleBot
Una variant de programari maliciós amenaçador anomenada BundleBot ha estat operant de manera encoberta, evaint la detecció aprofitant les tècniques de desplegament d'un fitxer .NET. Aquest mètode permet als actors de l'amenaça capturar informació confidencial dels amfitrions compromesos de manera sigilosa.
BundleBot és conegut per explotar el format autònom del paquet dotnet (fitxer únic), cosa que fa que sigui difícil de detectar per als sistemes de seguretat. Això resulta en una detecció estàtica molt baixa o fins i tot nul·la, cosa que permet que el programari maliciós no es detecti durant períodes prolongats als dispositius compromesos.
Segons les conclusions dels experts en ciberseguretat, la distribució de BundleBot es produeix habitualment a través d'anuncis de Facebook i comptes compromesos, la qual cosa condueix usuaris desprevinguts a llocs web que es fan passar per utilitats de programes habituals, eines d'IA i jocs. Un cop els usuaris accedeixen a aquests llocs web enganyosos, desencadenen sense saber-ho la descàrrega i l'execució del programari maliciós, posant en risc els seus sistemes i dades sensibles.
Taula de continguts
Els ciberdelinqüents s'aprofiten de les populars eines d'IA com a esquers de pesca
Els llocs web connectats als atacs de BundleBot Malware han adoptat la tàctica d'imitar Google Bard, un destacat chatbot d'IA generatiu de conversa desenvolupat per l'empresa. Aquests llocs web enganyosos atrauen víctimes desprevenides oferint un enllaç de descàrrega aparentment atractiu per a un arxiu RAR anomenat "Google_AI.rar". En particular, aquests arxius fraudulents estan allotjats en serveis d'emmagatzematge en núvol legítims com Dropbox.
L'ús de Google Bard com a esquer no és una cosa nova, tenint en compte la creixent popularitat de les eines d'IA. Els ciberdelinqüents han aprofitat aquesta tendència en els últims mesos per enganyar els usuaris, especialment en plataformes com Facebook. Utilitzen aquesta estratègia per distribuir furtivament diversos tipus de programari maliciós per recopilar informació, com el famós Doenerium .
La distribució d'aquests enllaços no segurs es produeix sovint a través d'anuncis de Facebook i comptes d'usuari compromesos. Aquest mètode ha estat explotat de manera persistent pels actors d'amenaça durant un temps. En combinar aquesta tàctica de distribució amb la capacitat del programari maliciós per robar la informació del compte de Facebook d'una víctima, els ciberdelinqüents creen un cicle autosuficient que alimenta les seves activitats nocives.
La cadena d'infecció de l'amenaça de programari maliciós BundleBot
En desempaquetar l'arxiu "Google_AI.rar", els usuaris trobaran un fitxer executable anomenat "GoogleAI.exe", que és una aplicació autònoma d'un sol fitxer .NET. Al seu torn, aquesta aplicació incorpora a més un fitxer DLL anomenat "GoogleAI.dll", responsable d'obtenir un arxiu ZIP protegit amb contrasenya de Google Drive.
En la següent etapa, el contingut extret del fitxer ZIP anomenat "ADSNEW-1.0.0.3.zip" revela una altra aplicació autònoma d'un fitxer .NET coneguda com "RiotClientServices.exe". Aquesta aplicació inclou la càrrega útil de BundleBot "RiotClientServices.dll", així com un serialitzador de dades de paquets de comandament i control (C2) anomenat "LirarySharing.dll".
Un cop activat, el BundleBot Malware funciona com a robador/bot personalitzat i nou. Utilitza la biblioteca "LirarySharing.dll" per processar i serialitzar les dades de paquets transmesos durant la comunicació del bot amb el servidor C2. Per evadir l'anàlisi, els artefactes binaris utilitzen tècniques d'ofuscament personalitzades i inclouen una quantitat significativa de codi brossa.
El programari maliciós BundleBot té funcionalitats intrusives amenaçadores
Les capacitats del programari maliciós són alarmants. Pot extreure de manera sigilosa dades dels navegadors web, capturar captures de pantalla, adquirir fitxes de Discord, recopilar informació de Telegram i recollir detalls del compte de Facebook. El programari maliciós funciona com un robot sofisticat per robar dades, que compromet la informació sensible de diverses fonts sense que l'usuari ho sàpiga.
Curiosament, hi ha una segona mostra de BundleBot, gairebé idèntica en tots els aspectes excepte per una diferència clau. Aquesta variant aprofita HTTPS per exfiltrar la informació robada a un servidor remot. Les dades robades s'exfiltran com un arxiu ZIP, permetent als atacants transferir discretament la informació de la víctima sense aixecar sospita.
