BundleBot Malware

A BundleBot nevű, fenyegető kártevő-változat rejtetten működik, és a .NET egyfájlos telepítési technikák segítségével elkerülte az észlelést. Ez a módszer lehetővé teszi a fenyegetés szereplői számára, hogy titkos információkat szerezzenek be a feltört gazdagépekről.

A BundleBot arról ismert, hogy kihasználja a dotnet köteg (egyfájlos) önálló formátumot, ami kihívást jelent a biztonsági rendszerek számára annak észlelésében. Ez nagyon alacsony vagy akár nulla statikus észlelést eredményez, ami lehetővé teszi, hogy a rosszindulatú program hosszabb ideig észrevétlen maradjon a feltört eszközökön.

A kiberbiztonsági szakértők megállapításai szerint a BundleBot terjesztése általában Facebook-hirdetéseken és feltört fiókokon keresztül történik, így a gyanútlan felhasználók olyan webhelyekre jutnak, amelyek rendszeres programsegédeknek, mesterséges intelligencia-eszközöknek és játékoknak álcázzák magukat. Amint a felhasználók hozzáférnek ezekhez a megtévesztő webhelyekhez, tudtukon kívül elindítják a rosszindulatú program letöltését és végrehajtását, ezzel veszélybe sodorva rendszereiket és érzékeny adataikat.

A kiberbűnözők adathalász csaliként használják ki a népszerű AI-eszközöket

A BundleBot Malware támadásokhoz kapcsolódó webhelyek azt a taktikát alkalmazták, hogy utánozzák a Google Bard-ot, a vállalat által kifejlesztett kiemelkedő, párbeszédes generatív AI chatbotot. Ezek a megtévesztő webhelyek gyanútlan áldozatokat csábítanak azáltal, hogy látszólag csábító letöltési linket kínálnak a „Google_AI.rar” nevű RAR-archívumhoz. Nevezetesen, ezek a csaló archívumok olyan legitim felhőalapú tárolási szolgáltatásokon találhatók, mint a Dropbox.

A Google Bard csaliként való használata nem újdonság, tekintettel az AI-eszközök növekvő népszerűségére. A kiberbűnözők az elmúlt hónapokban kihasználták ezt a tendenciát, hogy megtévesszék a felhasználókat, különösen az olyan platformokon, mint a Facebook. Ezt a stratégiát alkalmazzák különféle információgyűjtő rosszindulatú programok, például a hírhedt Doenerium lopakodó terjesztésére.

Ezeknek a nem biztonságos linkeknek a terjesztése gyakran Facebook-hirdetéseken és feltört felhasználói fiókokon keresztül történik. Ezt a módszert a fenyegetés szereplői egy ideje kitartóan kihasználják. Ha ezt a terjesztési taktikát kombinálják a rosszindulatú programok azon képességével, hogy ellopják az áldozat Facebook-fiókjának adatait, a kiberbűnözők önfenntartó ciklust hoznak létre, amely beépül káros tevékenységeikbe.

A BundleBot malware fenyegetés fertőzési lánca

A „Google_AI.rar” archívum kicsomagolása után a felhasználók egy „GoogleAI.exe” nevű végrehajtható fájlt találnak, amely egy .NET egyfájlos, önálló alkalmazás. Ez az alkalmazás viszont tartalmaz egy „GoogleAI.dll” nevű DLL-fájlt is, amely egy jelszóval védett ZIP-archívum lekéréséért felelős a Google Drive-ból.

A következő szakaszban az „ADSNEW-1.0.0.3.zip” ZIP-fájlból kivont tartalom egy másik, „RiotClientServices.exe” néven ismert, egyfájlos, önálló .NET-alkalmazást tár fel. Ez az alkalmazás a „RiotClientServices.dll” BundleBot hasznos adatot, valamint a „LirarySharing.dll” nevű Command-and-Control (C2) csomagadat-sorosítót hordozza.

Aktiválása után a BundleBot Malware egyedi és újszerű lopó/botként működik. A 'LirarySharing.dll' könyvtárat használja a bot és a C2 szerver közötti kommunikáció során továbbított csomagadatok feldolgozására és sorba rendezésére. Az elemzés elkerülése érdekében a bináris műtermékek egyedi elfedési technikákat alkalmaznak, és jelentős mennyiségű kéretlen kódot tartalmaznak.

A BundleBot rosszindulatú programnak fenyegetően behatoló funkciói vannak

A kártevő képességei riasztóak. Lopva képes adatokat kinyerni a webböngészőkből, képernyőképeket készíteni, Discord tokeneket szerezni, információkat gyűjteni a Telegramból, és begyűjteni a Facebook-fiók adatait. A rosszindulatú program kifinomult adatlopó botként működik, amely a felhasználó tudta nélkül kompromittálja a különféle forrásokból származó érzékeny információkat.

Érdekes módon van egy második BundleBot minta, amely egy kulcsfontosságú különbségtől eltekintve minden szempontból majdnem azonos. Ez a változat a HTTPS-t használja fel az ellopott információk távoli szerverre való kiszűrésére. Az ellopott adatokat ZIP-archívumként kiszivárogtatják, így a támadók diszkréten továbbíthatják az áldozat adatait anélkül, hogy gyanút keltve.