BundleBot Malware
Hrozivá varianta malwaru zvaná BundleBot funguje skrytě a vyhýbá se detekci využitím technik nasazení jednoho souboru .NET. Tato metoda umožňuje aktérům hrozeb tajně zachytit citlivé informace z kompromitovaných hostitelů.
BundleBot je známý tím, že využívá samostatný formát dotnet bundle (jednosouborový), což ztěžuje bezpečnostním systémům jeho detekci. To má za následek velmi nízkou nebo dokonce nulovou statickou detekci, což umožňuje, aby malware zůstal na napadených zařízeních nezjištěn po delší dobu.
Podle zjištění odborníků na kybernetickou bezpečnost se BundleBot běžně distribuuje prostřednictvím reklam na Facebooku a kompromitovaných účtů, což vede nic netušící uživatele na webové stránky, které se maskují jako běžné programové nástroje, nástroje umělé inteligence a hry. Jakmile uživatelé vstoupí na tyto podvodné webové stránky, nevědomky spustí stahování a spuštění malwaru, čímž vystaví své systémy a citlivá data riziku.
Obsah
Kyberzločinci využívají oblíbené nástroje umělé inteligence jako návnady na phishing
Webové stránky spojené s útoky BundleBot Malware přijaly taktiku napodobování Google Bard, prominentního konverzačního generativního chatbota AI vyvinutého společností. Tyto podvodné webové stránky lákají nic netušící oběti tím, že nabízejí zdánlivě lákavý odkaz ke stažení archivu RAR s názvem „Google_AI.rar“. Je pozoruhodné, že tyto podvodné archivy jsou hostovány na legitimních službách cloudového úložiště, jako je Dropbox.
Použití Google Bard jako návnady není nic nového, vezmeme-li v úvahu rostoucí popularitu nástrojů AI. Kyberzločinci využili tohoto trendu v posledních měsících k klamání uživatelů, zejména na platformách, jako je Facebook. Tuto strategii využívají k tajné distribuci různých typů malwaru shromažďujícího informace, jako je například notoricky známý Doenerium .
K distribuci těchto nebezpečných odkazů často dochází prostřednictvím reklam na Facebooku a kompromitovaných uživatelských účtů. Tuto metodu již nějakou dobu vytrvale využívají aktéři hrozeb. Spojením této distribuční taktiky se schopností malwaru ukrást informace o facebookovém účtu oběti vytvářejí kyberzločinci samoudržovací cyklus, který přispívá k jejich škodlivým aktivitám.
Infekční řetězec malwarové hrozby BundleBot
Po rozbalení archivu 'Google_AI.rar' uživatelé naleznou spustitelný soubor s názvem 'GoogleAI.exe', což je samostatná aplikace .NET s jedním souborem. Tato aplikace dále obsahuje soubor DLL s názvem „GoogleAI.dll“, který je zodpovědný za načtení archivu ZIP chráněného heslem z Disku Google.
V další fázi obsah extrahovaný ze souboru ZIP s názvem 'ADSNEW-1.0.0.3.zip' odhaluje další jednosouborovou samostatnou aplikaci .NET známou jako 'RiotClientServices.exe'. Tato aplikace nese užitečné zatížení BundleBot „RiotClientServices.dll“ a také serializátor dat paketů Command-and-Control (C2) s názvem „LirarySharing.dll“.
Po aktivaci BundleBot Malware funguje jako vlastní a neotřelý zloděj/bot. Využívá knihovnu 'LirarySharing.dll' ke zpracování a serializaci paketových dat přenášených během komunikace robota se serverem C2. Aby se vyhnuly analýze, binární artefakty využívají vlastní techniky zmatku a obsahují značné množství nevyžádaného kódu.
Malware BundleBot má ohrožující rušivé funkce
Schopnosti malwaru jsou alarmující. Dokáže tajně extrahovat data z webových prohlížečů, pořizovat snímky obrazovky, získávat tokeny Discord, shromažďovat informace z telegramu a získávat podrobnosti o účtu na Facebooku. Malware funguje jako sofistikovaný bot pro krádeže dat a kompromituje citlivé informace z různých zdrojů bez vědomí uživatele.
Zajímavé je, že existuje druhý vzorek BundleBot, téměř identický ve všech aspektech s výjimkou jednoho klíčového rozdílu. Tato varianta využívá HTTPS k exfiltraci ukradených informací na vzdálený server. Ukradená data jsou exfiltrována jako ZIP archiv, což útočníkům umožňuje diskrétně přenést informace oběti, aniž by vyvolalo podezření.
