بدافزار BundleBot

تا Mezo در Malware, Stealers

ترجمه به:

یک نوع بدافزار تهدیدکننده به نام BundleBot به صورت مخفیانه عمل می‌کند و با استفاده از تکنیک‌های استقرار تک فایل دات‌نت از شناسایی فرار می‌کند. این روش به عوامل تهدید اجازه می دهد تا اطلاعات حساس را از میزبان های در معرض خطر به طور مخفیانه دریافت کنند.

BundleBot به دلیل بهره‌برداری از فرمت بسته dotnet (تک فایلی) شناخته شده است که تشخیص آن را برای سیستم‌های امنیتی چالش برانگیز می‌کند. این منجر به تشخیص استاتیک بسیار کم یا حتی صفر می شود و به بدافزار اجازه می دهد تا برای مدت طولانی در دستگاه های آسیب دیده شناسایی نشده باقی بماند.

بر اساس یافته‌های کارشناسان امنیت سایبری، توزیع BundleBot معمولاً از طریق تبلیغات فیس‌بوک و حساب‌های در معرض خطر انجام می‌شود و کاربران ناآگاه را به وب‌سایت‌هایی سوق می‌دهد که به عنوان ابزارهای برنامه‌های معمولی، ابزارهای هوش مصنوعی و بازی‌ها ظاهر می‌شوند. هنگامی که کاربران به این وب سایت های فریبنده دسترسی پیدا می کنند، ناآگاهانه بارگیری و اجرای بدافزار را آغاز می کنند و سیستم و داده های حساس خود را در معرض خطر قرار می دهند.

فهرست مطالب

مجرمان سایبری از ابزارهای محبوب هوش مصنوعی به عنوان فریب های فیشینگ استفاده می کنند

وب‌سایت‌های متصل به حملات بدافزار BundleBot، تاکتیک تقلید از Google Bard، یک ربات گفتگوی برجسته هوش مصنوعی محاوره‌ای را که توسط این شرکت توسعه داده شده است، اتخاذ کرده‌اند. این وب‌سایت‌های فریبنده با ارائه یک لینک دانلود به ظاهر فریبنده برای یک آرشیو RAR به نام «Google_AI.rar» قربانیان ناآگاه را فریب می‌دهند. قابل ذکر است، این آرشیوهای تقلبی در سرویس های ذخیره سازی ابری قانونی مانند Dropbox میزبانی می شوند.

با توجه به افزایش محبوبیت ابزارهای هوش مصنوعی، استفاده از Google Bard به عنوان یک فریب چیز جدیدی نیست. مجرمان سایبری در ماه های اخیر از این روند برای فریب کاربران به ویژه در پلتفرم هایی مانند فیس بوک استفاده کرده اند. آنها از این استراتژی برای توزیع مخفیانه انواع بدافزارهای جمع‌آوری اطلاعات مانند بدافزار بدنام Doenerium استفاده می‌کنند.

توزیع این پیوندهای ناامن اغلب از طریق تبلیغات فیس بوک و حساب های کاربری در معرض خطر رخ می دهد. این روش برای مدتی به طور مداوم توسط عوامل تهدید مورد بهره برداری قرار گرفته است. با ترکیب این تاکتیک توزیع با توانایی بدافزار برای سرقت اطلاعات حساب فیسبوک قربانیان، مجرمان سایبری چرخه ای خودپایه ایجاد می کنند که به فعالیت های مضر آنها تغذیه می کند.

زنجیره عفونت تهدید بدافزار BundleBot

پس از باز کردن بایگانی «Google_AI.rar»، کاربران یک فایل اجرایی به نام «GoogleAI.exe» را پیدا می‌کنند که یک برنامه تک‌فایل دات‌نت و مستقل است. به نوبه خود، این برنامه یک فایل DLL به نام «GoogleAI.dll» را در خود جای داده است که مسئول واکشی یک آرشیو ZIP محافظت شده با رمز عبور از Google Drive است.

در مرحله بعد، محتویات استخراج شده از فایل ZIP به نام "ADSNEW-1.0.0.3.zip" یک برنامه تک فایل دات نت و یک برنامه مستقل دیگر به نام "RiotClientServices.exe" را نشان می دهد. این برنامه حاوی بار BundleBot «RiotClientServices.dll» و همچنین یک سریال‌ساز داده بسته Command-and-Control (C2) با نام «LirarySharing.dll» است.

پس از فعال شدن، بدافزار BundleBot به عنوان یک دزد/ربات سفارشی و جدید عمل می کند. از کتابخانه LirarySharing.dll برای پردازش و سریال داده های بسته ارسال شده در طول ارتباط ربات با سرور C2 استفاده می کند. برای فرار از تجزیه و تحلیل، مصنوعات باینری از تکنیک های مبهم سازی سفارشی استفاده می کنند و مقدار قابل توجهی از کدهای ناخواسته را شامل می شوند.