بدافزار BundleBot
یک نوع بدافزار تهدیدکننده به نام BundleBot به صورت مخفیانه عمل میکند و با استفاده از تکنیکهای استقرار تک فایل داتنت از شناسایی فرار میکند. این روش به عوامل تهدید اجازه می دهد تا اطلاعات حساس را از میزبان های در معرض خطر به طور مخفیانه دریافت کنند.
BundleBot به دلیل بهرهبرداری از فرمت بسته dotnet (تک فایلی) شناخته شده است که تشخیص آن را برای سیستمهای امنیتی چالش برانگیز میکند. این منجر به تشخیص استاتیک بسیار کم یا حتی صفر می شود و به بدافزار اجازه می دهد تا برای مدت طولانی در دستگاه های آسیب دیده شناسایی نشده باقی بماند.
بر اساس یافتههای کارشناسان امنیت سایبری، توزیع BundleBot معمولاً از طریق تبلیغات فیسبوک و حسابهای در معرض خطر انجام میشود و کاربران ناآگاه را به وبسایتهایی سوق میدهد که به عنوان ابزارهای برنامههای معمولی، ابزارهای هوش مصنوعی و بازیها ظاهر میشوند. هنگامی که کاربران به این وب سایت های فریبنده دسترسی پیدا می کنند، ناآگاهانه بارگیری و اجرای بدافزار را آغاز می کنند و سیستم و داده های حساس خود را در معرض خطر قرار می دهند.
فهرست مطالب
مجرمان سایبری از ابزارهای محبوب هوش مصنوعی به عنوان فریب های فیشینگ استفاده می کنند
وبسایتهای متصل به حملات بدافزار BundleBot، تاکتیک تقلید از Google Bard، یک ربات گفتگوی برجسته هوش مصنوعی محاورهای را که توسط این شرکت توسعه داده شده است، اتخاذ کردهاند. این وبسایتهای فریبنده با ارائه یک لینک دانلود به ظاهر فریبنده برای یک آرشیو RAR به نام «Google_AI.rar» قربانیان ناآگاه را فریب میدهند. قابل ذکر است، این آرشیوهای تقلبی در سرویس های ذخیره سازی ابری قانونی مانند Dropbox میزبانی می شوند.
با توجه به افزایش محبوبیت ابزارهای هوش مصنوعی، استفاده از Google Bard به عنوان یک فریب چیز جدیدی نیست. مجرمان سایبری در ماه های اخیر از این روند برای فریب کاربران به ویژه در پلتفرم هایی مانند فیس بوک استفاده کرده اند. آنها از این استراتژی برای توزیع مخفیانه انواع بدافزارهای جمعآوری اطلاعات مانند بدافزار بدنام Doenerium استفاده میکنند.
توزیع این پیوندهای ناامن اغلب از طریق تبلیغات فیس بوک و حساب های کاربری در معرض خطر رخ می دهد. این روش برای مدتی به طور مداوم توسط عوامل تهدید مورد بهره برداری قرار گرفته است. با ترکیب این تاکتیک توزیع با توانایی بدافزار برای سرقت اطلاعات حساب فیسبوک قربانیان، مجرمان سایبری چرخه ای خودپایه ایجاد می کنند که به فعالیت های مضر آنها تغذیه می کند.
زنجیره عفونت تهدید بدافزار BundleBot
پس از باز کردن بایگانی «Google_AI.rar»، کاربران یک فایل اجرایی به نام «GoogleAI.exe» را پیدا میکنند که یک برنامه تکفایل داتنت و مستقل است. به نوبه خود، این برنامه یک فایل DLL به نام «GoogleAI.dll» را در خود جای داده است که مسئول واکشی یک آرشیو ZIP محافظت شده با رمز عبور از Google Drive است.
در مرحله بعد، محتویات استخراج شده از فایل ZIP به نام "ADSNEW-1.0.0.3.zip" یک برنامه تک فایل دات نت و یک برنامه مستقل دیگر به نام "RiotClientServices.exe" را نشان می دهد. این برنامه حاوی بار BundleBot «RiotClientServices.dll» و همچنین یک سریالساز داده بسته Command-and-Control (C2) با نام «LirarySharing.dll» است.
پس از فعال شدن، بدافزار BundleBot به عنوان یک دزد/ربات سفارشی و جدید عمل می کند. از کتابخانه LirarySharing.dll برای پردازش و سریال داده های بسته ارسال شده در طول ارتباط ربات با سرور C2 استفاده می کند. برای فرار از تجزیه و تحلیل، مصنوعات باینری از تکنیک های مبهم سازی سفارشی استفاده می کنند و مقدار قابل توجهی از کدهای ناخواسته را شامل می شوند.
بدافزار BundleBot دارای عملکردهای تهدیدآمیز سرزده است
قابلیت های بدافزار هشدار دهنده است. میتواند بهطور مخفیانه دادهها را از مرورگرهای وب استخراج کند، اسکرینشات بگیرد، توکنهای Discord را به دست آورد، اطلاعات را از تلگرام جمعآوری کند و جزئیات حساب فیسبوک را جمعآوری کند. این بدافزار به عنوان یک ربات پیچیده سرقت اطلاعات عمل می کند و اطلاعات حساس را از منابع مختلف بدون اطلاع کاربر به خطر می اندازد.
جالب است که نمونه دومی از BundleBot وجود دارد که تقریباً از همه جنبهها یکسان است به جز یک تفاوت کلیدی. این نوع از HTTPS برای استخراج اطلاعات دزدیده شده به یک سرور راه دور استفاده می کند. دادههای دزدیده شده بهعنوان یک آرشیو ZIP استخراج میشوند و به مهاجمان این امکان را میدهند تا اطلاعات قربانی را بدون ایجاد شک و ظن انتقال دهند.