BundleBot-haittaohjelma
Uhkaava haittaohjelmaversio nimeltä BundleBot on toiminut piilossa ja välttänyt havaitsemisen hyödyntämällä .NET-yhden tiedoston käyttöönottotekniikoita. Tämän menetelmän avulla uhkatekijät voivat kaapata arkaluontoisia tietoja vaarantuneista isännistä salaa.
BundleBot tunnetaan itsenäisen dotnet-nipun (yksi tiedostomuodon) hyödyntämisestä, mikä tekee sen havaitsemisesta haastavaa turvajärjestelmille. Tämä johtaa erittäin alhaiseen tai jopa nollaan staattiseen havaitsemiseen, jolloin haittaohjelma pysyy havaitsematta pitkiä aikoja vaarantuneissa laitteissa.
Kyberturvallisuusasiantuntijoiden havaintojen mukaan BundleBotin jakelu tapahtuu yleensä Facebook-mainosten ja vaarantuneiden tilien kautta, mikä johtaa pahaa-aavistamattomat käyttäjät verkkosivustoille, jotka naamioituvat tavallisiksi ohjelma-apuohjelmiksi, tekoälytyökaluiksi ja peleiksi. Kun käyttäjät pääsevät näille petollisille verkkosivustoille, he käynnistävät tietämättään haittaohjelman latauksen ja suorittamisen, mikä vaarantaa järjestelmänsä ja arkaluontoiset tiedot.
Sisällysluettelo
Kyberrikolliset hyödyntävät suosittuja tekoälytyökaluja tietojenkalasteluvieheinä
BundleBot-haittaohjelmien hyökkäyksiin liittyvät verkkosivustot ovat omaksuneet taktiikkana jäljitellä Google Bardia, joka on yrityksen kehittämä näkyvä keskustelupohjainen generoiva AI-chatbot. Nämä petolliset verkkosivustot houkuttelevat hyväuskoisia uhreja tarjoamalla houkuttelevan latauslinkin RAR-arkistoon nimeltä "Google_AI.rar". Erityisesti nämä vilpilliset arkistot isännöidään laillisissa pilvitallennuspalveluissa, kuten Dropboxissa.
Google Bardin käyttö vieheenä ei ole uutta, kun otetaan huomioon tekoälytyökalujen kasvava suosio. Kyberrikolliset ovat viime kuukausina käyttäneet tätä suuntausta hyväkseen pettääkseen käyttäjiä erityisesti Facebookin kaltaisilla alustoilla. He käyttävät tätä strategiaa jakaakseen salakavalasti erilaisia tietoja kerääviä haittaohjelmia, kuten pahamaineisen Doeneriumin .
Näiden vaarallisten linkkien jakelu tapahtuu usein Facebook-mainosten ja vaarantuneiden käyttäjätilien kautta. Uhkatoimijat ovat käyttäneet tätä menetelmää jatkuvasti hyväkseen jo jonkin aikaa. Yhdistämällä tämä jakelutaktiikka haittaohjelman kykyyn ryöstää uhrin Facebook-tilitietoja, kyberrikolliset luovat itseään ylläpitävän kierteen, joka ruokkii heidän haitallisia toimiaan.
BundleBot-haittaohjelmauhan tartuntaketju
Purkaessaan Google_AI.rar-arkiston käyttäjät löytävät suoritettavan tiedoston nimeltä GoogleAI.exe, joka on .NET-yhdestä tiedostosta koostuva itsenäinen sovellus. Tämä sovellus puolestaan sisältää lisäksi DLL-tiedoston nimeltä "GoogleAI.dll", joka vastaa salasanalla suojatun ZIP-arkiston hakemisesta Google Drivesta.
Seuraavassa vaiheessa ADSNEW-1.0.0.3.zip-nimisen ZIP-tiedoston sisältö paljastaa toisen .NET-yksitiedostoisen, itsenäisen sovelluksen, joka tunnetaan nimellä "RiotClientServices.exe". Tämä sovellus kuljettaa BundleBot-hyötykuorman "RiotClientServices.dll" sekä Command-and-Control (C2) -pakettidatasarjan, jonka nimi on LirarySharing.dll.
Kun BundleBot-haittaohjelma on aktivoitu, se toimii mukautettuna ja uudenlaisena varastajana/bottina. Se käyttää LirarySharing.dll-kirjastoa käsittelemään ja sarjoittamaan pakettidataa, joka lähetetään botin ja C2-palvelimen välisen viestinnän aikana. Analyysin välttämiseksi binaariset artefaktit käyttävät räätälöityjä hämärätekniikoita ja sisältävät huomattavan määrän roskakoodia.
BundleBot-haittaohjelmassa on uhkaavia häiritseviä toimintoja
Haittaohjelmien ominaisuudet ovat hälyttäviä. Se voi salaa poimia tietoja verkkoselaimista, kaapata kuvakaappauksia, hankkia Discord-tunnuksia, kerätä tietoja Telegramista ja kerätä Facebook-tilin tiedot. Haittaohjelma toimii kehittyneenä datavarastobotina, joka vaarantaa arkaluontoisia tietoja eri lähteistä käyttäjän tietämättä.
Mielenkiintoista on, että BundleBotista on toinen näyte, joka on lähes identtinen kaikilta osin yhtä keskeistä eroa lukuun ottamatta. Tämä muunnelma hyödyntää HTTPS:ää suodattaakseen varastetut tiedot etäpalvelimelle. Varastetut tiedot suodatetaan ZIP-arkistona, jolloin hyökkääjät voivat siirtää uhrin tietoja huomaamattomasti epäilyksiä herättämättä.
