תוכנת זדונית BundleBot

גרסת תוכנה זדונית מאיימת בשם BundleBot פעלה באופן סמוי, והתחמקה מזיהוי על ידי מינוף טכניקות פריסה של קובץ בודד של .NET. שיטה זו מאפשרת לשחקני איומים ללכוד מידע רגיש ממארחים שנפגעו בגניבה.

BundleBot ידוע בניצול הפורמט העצמאי של dotnet Bundle (קובץ בודד), מה שהופך אותו למאתגר לזיהוי מערכות אבטחה. זה גורם לזיהוי סטטי נמוך מאוד או אפילו אפס, מה שמאפשר לתוכנה הזדונית להישאר ללא זיהוי לתקופות ממושכות במכשירים שנפרצו.

על פי הממצאים של מומחי אבטחת סייבר, ההפצה של BundleBot מתרחשת בדרך כלל באמצעות מודעות פייסבוק וחשבונות שנפגעו, מה שמוביל משתמשים תמימים לאתרים שמתחפשים לתוכנית שירות רגילה, כלי AI ומשחקים. ברגע שמשתמשים ניגשים לאתרים המטעים הללו, הם מפעילים ללא מודע את ההורדה והביצוע של התוכנה הזדונית, ומעמידים את המערכות והנתונים הרגישים שלהם בסיכון.

פושעי סייבר מנצלים את כלי הבינה המלאכותית הפופולריים בתור פתיונות דיוג

האתרים המחוברים למתקפות ה-BundleBot Malware אימצו את הטקטיקה של חיקוי Google Bard, צ'טבוט בולט ליצירת AI שפותח על ידי החברה. אתרי האינטרנט המטעים הללו מפתים קורבנות תמימים על ידי הצעה של קישור הורדה מפתה לכאורה לארכיון RAR בשם 'Google_AI.rar'. יש לציין שהארכיונים ההונאה הללו מתארחים בשירותי אחסון ענן לגיטימיים כמו Dropbox.

השימוש ב-Google Bard כפיתוי אינו משהו חדש, בהתחשב בפופולריות הגוברת של כלי AI. פושעי סייבר ניצלו את המגמה הזו בחודשים האחרונים כדי להונות משתמשים, במיוחד בפלטפורמות כמו פייסבוק. הם משתמשים באסטרטגיה זו כדי להפיץ בגניבה סוגים שונים של תוכנות זדוניות לאיסוף מידע, כמו Doenerium הידוע לשמצה.

ההפצה של קישורים לא בטוחים אלה מתרחשת לעתים קרובות באמצעות מודעות פייסבוק וחשבונות משתמש שנפגעו. שיטה זו נוצלה בהתמדה על ידי גורמי איומים במשך זמן מה. על ידי שילוב של טקטיקת הפצה זו עם היכולת של תוכנת זדונית לגנוב פרטי חשבון פייסבוק של קורבן, פושעי סייבר יוצרים מעגל מקיים את עצמו שמזין את הפעילויות המזיקות שלהם.

שרשרת הזיהום של האיום על תוכנות זדוניות BundleBot

לאחר פריקת ארכיון 'Google_AI.rar', המשתמשים ימצאו קובץ הפעלה בשם 'GoogleAI.exe', שהוא יישום .NET עם קובץ בודד, עצמאי. בתורו, יישום זה משלב עוד קובץ DLL בשם 'GoogleAI.dll', האחראי על שליפת ארכיון ZIP מוגן בסיסמה מ-Google Drive.

בשלב הבא, התוכן שחולץ מקובץ ה-ZIP שנקרא 'ADSNEW-1.0.0.3.zip' חושף עוד יישום עצמאי של קובץ .NET, המכונה 'RiotClientServices.exe'. יישום זה נושא את מטען ה- BundleBot 'RiotClientServices.dll', כמו גם סדרת נתוני מנות Command-and-Control (C2) בשם 'LirarySharing.dll'.

לאחר ההפעלה, תוכנת ה-BundleBot Malware מתפקדת כגנב/בוט מותאם וחדשני. הוא משתמש בספריית 'LirarySharing.dll' כדי לעבד ולהעביר בסידרה את נתוני החבילות המועברים במהלך התקשורת של הבוט עם שרת C2. כדי להתחמק מניתוח, החפצים הבינאריים משתמשים בטכניקות ערפול מותאמות אישית וכוללים כמות משמעותית של קוד זבל.

לתוכנה הזדונית של BundleBot יש פונקציות חודרניות מאיימות

היכולות של התוכנה הזדונית מדאיגות. הוא יכול לחלץ נתונים מדפדפני אינטרנט בגניבה, לצלם צילומי מסך, לרכוש אסימוני Discord, לאסוף מידע מטלגרם ולקטוף פרטי חשבון פייסבוק. התוכנה הזדונית פועלת כבוט מתוחכם לגניבת נתונים, ופוגע במידע רגיש ממקורות שונים ללא ידיעת המשתמש.

מעניין לציין שיש מדגם שני של BundleBot, כמעט זהה בכל ההיבטים מלבד הבדל מרכזי אחד. גרסה זו ממנפת את ה-HTTPS כדי להעביר את המידע הגנוב לשרת מרוחק. הנתונים הגנובים עוברים כארכיון ZIP, המאפשר לתוקפים להעביר בדיסקרטיות את המידע של הקורבן מבלי לעורר חשד.