BundleBot Malware
Μια απειλητική παραλλαγή κακόβουλου λογισμικού που ονομάζεται BundleBot λειτουργεί κρυφά, αποφεύγοντας τον εντοπισμό αξιοποιώντας τεχνικές ανάπτυξης ενός αρχείου .NET. Αυτή η μέθοδος επιτρέπει στους φορείς απειλής να συλλαμβάνουν ευαίσθητες πληροφορίες από παραβιασμένους κεντρικούς υπολογιστές κρυφά.
Το BundleBot είναι γνωστό για την εκμετάλλευση της αυτόνομης μορφής δέσμης dotnet (ενός αρχείου), γεγονός που καθιστά δύσκολο τον εντοπισμό του για τα συστήματα ασφαλείας. Αυτό έχει ως αποτέλεσμα πολύ χαμηλή ή και μηδενική στατική ανίχνευση, επιτρέποντας στο κακόβουλο λογισμικό να παραμείνει μη ανιχνεύσιμο για παρατεταμένες περιόδους στις συσκευές που έχουν παραβιαστεί.
Σύμφωνα με τα ευρήματα των ειδικών στον τομέα της κυβερνοασφάλειας, η διανομή του BundleBot πραγματοποιείται συνήθως μέσω διαφημίσεων Facebook και παραβιασμένων λογαριασμών, οδηγώντας ανυποψίαστους χρήστες σε ιστότοπους που μεταμφιέζονται ως κανονικά βοηθητικά προγράμματα, εργαλεία τεχνητής νοημοσύνης και παιχνίδια. Μόλις οι χρήστες αποκτήσουν πρόσβαση σε αυτούς τους παραπλανητικούς ιστότοπους, ενεργοποιούν εν αγνοία τους τη λήψη και την εκτέλεση του κακόβουλου λογισμικού, θέτοντας τα συστήματα και τα ευαίσθητα δεδομένα τους σε κίνδυνο.
Πίνακας περιεχομένων
Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται τα δημοφιλή εργαλεία τεχνητής νοημοσύνης ως δέλεαρ phishing
Οι ιστότοποι που συνδέονται με τις επιθέσεις κακόβουλου λογισμικού του BundleBot έχουν υιοθετήσει την τακτική της μίμησης του Google Bard, ενός εξέχοντος chatbot τεχνητής νοημοσύνης που δημιουργεί συνομιλίες που αναπτύχθηκε από την εταιρεία. Αυτοί οι απατηλοί ιστότοποι δελεάζουν ανυποψίαστα θύματα προσφέροντας έναν φαινομενικά δελεαστικό σύνδεσμο λήψης για ένα αρχείο RAR με το όνομα "Google_AI.rar". Συγκεκριμένα, αυτά τα δόλια αρχεία φιλοξενούνται σε νόμιμες υπηρεσίες αποθήκευσης cloud, όπως το Dropbox.
Η χρήση του Google Bard ως δέλεαρ δεν είναι κάτι νέο, λαμβάνοντας υπόψη την αυξανόμενη δημοτικότητα των εργαλείων AI. Οι κυβερνοεγκληματίες έχουν εκμεταλλευτεί αυτή την τάση τους τελευταίους μήνες για να εξαπατήσουν τους χρήστες, ιδιαίτερα σε πλατφόρμες όπως το Facebook. Χρησιμοποιούν αυτή τη στρατηγική για να διανέμουν κρυφά διάφορους τύπους κακόβουλου λογισμικού συλλογής πληροφοριών, όπως το περιβόητο Doenerium .
Η διανομή αυτών των μη ασφαλών συνδέσμων γίνεται συχνά μέσω των διαφημίσεων Facebook και των παραβιασμένων λογαριασμών χρηστών. Αυτή η μέθοδος χρησιμοποιείται επίμονα από φορείς απειλών για αρκετό καιρό. Συνδυάζοντας αυτήν την τακτική διανομής με την ικανότητα του κακόβουλου λογισμικού να κλέβει τις πληροφορίες του λογαριασμού του θύματος στο Facebook, οι εγκληματίες του κυβερνοχώρου δημιουργούν έναν αυτοσυντηρούμενο κύκλο που τροφοδοτεί τις επιβλαβείς δραστηριότητές τους.
Η αλυσίδα μόλυνσης της απειλής κακόβουλου λογισμικού BundleBot
Μετά την αποσυσκευασία του αρχείου "Google_AI.rar", οι χρήστες θα βρουν ένα εκτελέσιμο αρχείο με το όνομα "GoogleAI.exe", το οποίο είναι μια εφαρμογή με ένα μόνο αρχείο .NET, αυτόνομη. Με τη σειρά της, αυτή η εφαρμογή ενσωματώνει περαιτέρω ένα αρχείο DLL που ονομάζεται «GoogleAI.dll», υπεύθυνο για την ανάκτηση ενός αρχείου ZIP που προστατεύεται με κωδικό πρόσβασης από το Google Drive.
Στο επόμενο στάδιο, τα περιεχόμενα που εξάγονται από το αρχείο ZIP που ονομάζεται "ADSNEW-1.0.0.3.zip" αποκαλύπτουν μια άλλη εφαρμογή μεμονωμένου αρχείου .NET, αυτόνομη, γνωστή ως "RiotClientServices.exe". Αυτή η εφαρμογή φέρει το ωφέλιμο φορτίο BundleBot "RiotClientServices.dll", καθώς και έναν σειριοποιητή δεδομένων πακέτων Command-and-Control (C2) με το όνομα "LirarySharing.dll".
Μόλις ενεργοποιηθεί, το κακόβουλο λογισμικό BundleBot λειτουργεί ως προσαρμοσμένος και νέος κλέφτης/ρομπότ. Χρησιμοποιεί τη βιβλιοθήκη «LirarySharing.dll» για την επεξεργασία και τη σειριοποίηση των δεδομένων πακέτων που μεταδίδονται κατά την επικοινωνία του bot με τον διακομιστή C2. Για να αποφύγουν την ανάλυση, τα δυαδικά τεχνουργήματα χρησιμοποιούν εξατομικευμένες τεχνικές συσκότισης και περιλαμβάνουν σημαντικό αριθμό ανεπιθύμητου κώδικα.
Το κακόβουλο λογισμικό BundleBot έχει απειλητικές παρεμβατικές λειτουργίες
Οι δυνατότητες του κακόβουλου λογισμικού είναι ανησυχητικές. Μπορεί να εξάγει κρυφά δεδομένα από προγράμματα περιήγησης Ιστού, να καταγράφει στιγμιότυπα οθόνης, να αποκτά διακριτικά Discord, να συλλέγει πληροφορίες από το Telegram και να συλλέγει στοιχεία λογαριασμού Facebook. Το κακόβουλο λογισμικό λειτουργεί ως ένα εξελιγμένο bot κλοπής δεδομένων, που διακυβεύει ευαίσθητες πληροφορίες από διάφορες πηγές εν αγνοία του χρήστη.
Είναι ενδιαφέρον ότι υπάρχει ένα δεύτερο δείγμα BundleBot, σχεδόν πανομοιότυπο σε όλες τις πτυχές εκτός από μία βασική διαφορά. Αυτή η παραλλαγή αξιοποιεί το HTTPS για τη διείσδυση των κλεμμένων πληροφοριών σε έναν απομακρυσμένο διακομιστή. Τα κλεμμένα δεδομένα εξορύσσονται ως αρχείο ZIP, επιτρέποντας στους εισβολείς να μεταφέρουν διακριτικά τις πληροφορίες του θύματος χωρίς να δημιουργούν υποψίες.
