BundleBot Malware

Med Mezo i Malware, Stealers

Oversæt til:

En truende malware-variant kaldet BundleBot har fungeret i det skjulte og har unddraget sig opdagelse ved at udnytte .NET-enkeltfil-implementeringsteknikker. Denne metode giver trusselsaktører mulighed for snigende at fange følsom information fra kompromitterede værter.

BundleBot er kendt for at udnytte dotnet bundle (enkelt fil) selvstændigt format, hvilket gør det udfordrende for sikkerhedssystemer at opdage. Dette resulterer i meget lav eller endda nul statisk detektion, hvilket gør det muligt for malware at forblive uopdaget i længere perioder på de kompromitterede enheder.

Ifølge cybersikkerhedseksperters resultater sker distributionen af BundleBot almindeligvis gennem Facebook-annoncer og kompromitterede konti, hvilket fører intetanende brugere til websteder, der udgiver sig som almindelige programværktøjer, AI-værktøjer og spil. Når brugerne først får adgang til disse vildledende websteder, udløser de ubevidst download og eksekvering af malwaren, hvilket bringer deres systemer og følsomme data i fare.

Indholdsfortegnelse

Cyberkriminelle drager fordel af populære AI-værktøjer som phishing-lokker

De websteder, der er forbundet med BundleBot Malware-angrebene, har vedtaget taktikken med at efterligne Google Bard, en fremtrædende samtalegenerativ AI-chatbot udviklet af virksomheden. Disse vildledende websteder lokker intetanende ofre ved at tilbyde et tilsyneladende lokkende downloadlink til et RAR-arkiv med navnet 'Google_AI.rar'. Navnlig er disse svigagtige arkiver hostet på legitime cloud-lagringstjenester som Dropbox.

Brugen af Google Bard som lokkemiddel er ikke noget nyt i betragtning af den stigende popularitet af AI-værktøjer. Cyberkriminelle har udnyttet denne tendens i de seneste måneder til at bedrage brugere, især på platforme som Facebook. De anvender denne strategi til snigende at distribuere forskellige typer af informationsindsamlende malware, såsom det berygtede Doenerium .

Fordelingen af disse usikre links sker ofte gennem Facebook-annoncer og kompromitterede brugerkonti. Denne metode er blevet vedvarende udnyttet af trusselsaktører i nogen tid. Ved at kombinere denne distributionstaktik med malware'ens evne til at stjæle et offers Facebook-kontooplysninger, skaber cyberkriminelle en selvopretholdende cyklus, der leverer ind i deres skadelige aktiviteter.

Infektionskæden for BundleBot Malware-truslen

Ved udpakning af 'Google_AI.rar'-arkivet vil brugerne finde en eksekverbar fil med navnet 'GoogleAI.exe', som er en .NET-enkeltfil, selvstændig applikation. Til gengæld inkorporerer denne applikation yderligere en DLL-fil kaldet 'GoogleAI.dll', der er ansvarlig for at hente et password-beskyttet ZIP-arkiv fra Google Drev.

I det næste trin afslører indholdet, der er udtrukket fra ZIP-filen kaldet 'ADSNEW-1.0.0.3.zip', en anden .NET enkeltfil, selvstændig applikation kendt som 'RiotClientServices.exe.' Denne applikation bærer BundleBot-nyttelasten 'RiotClientServices.dll' samt en Command-and-Control (C2) pakkedataserializer ved navn 'LirarySharing.dll.'

Når den er aktiveret, fungerer BundleBot Malware som en brugerdefineret og ny stjæler/bot. Den bruger 'LirarySharing.dll'-biblioteket til at behandle og serialisere de pakkedata, der transmitteres under botens kommunikation med C2-serveren. For at undgå analyse bruger de binære artefakter skræddersyede sløringsteknikker og inkluderer en betydelig mængde uønsket kode.