BundleBot Malware
Una variante di malware minacciosa chiamata BundleBot ha operato di nascosto, eludendo il rilevamento sfruttando le tecniche di distribuzione a file singolo di .NET. Questo metodo consente agli attori delle minacce di acquisire furtivamente informazioni riservate da host compromessi.
BundleBot è noto per sfruttare il formato autonomo dotnet bundle (file singolo), che rende difficile il rilevamento da parte dei sistemi di sicurezza. Ciò si traduce in un rilevamento statico molto basso o addirittura nullo, consentendo al malware di non essere rilevato per periodi prolungati sui dispositivi compromessi.
Secondo i risultati degli esperti di sicurezza informatica, la distribuzione di BundleBot avviene comunemente tramite Facebook Ads e account compromessi, portando gli utenti ignari a siti Web mascherati da normali programmi di utilità, strumenti di intelligenza artificiale e giochi. Una volta che gli utenti accedono a questi siti Web ingannevoli, attivano inconsapevolmente il download e l'esecuzione del malware, mettendo a rischio i loro sistemi e dati sensibili.
Sommario
I criminali informatici sfruttano i popolari strumenti di intelligenza artificiale come esche di phishing
I siti Web collegati agli attacchi di BundleBot Malware hanno adottato la tattica di imitare Google Bard, un importante chatbot AI generativo conversazionale sviluppato dall'azienda. Questi siti Web ingannevoli attirano vittime ignare offrendo un collegamento per il download apparentemente allettante per un archivio RAR denominato "Google_AI.rar". In particolare, questi archivi fraudolenti sono ospitati su servizi di cloud storage legittimi come Dropbox.
L'uso di Google Bard come esca non è una novità, considerando la crescente popolarità degli strumenti di intelligenza artificiale. I criminali informatici hanno approfittato di questa tendenza negli ultimi mesi per ingannare gli utenti, in particolare su piattaforme come Facebook. Utilizzano questa strategia per distribuire furtivamente vari tipi di malware che raccolgono informazioni, come il famigerato Doenerium .
La distribuzione di questi collegamenti non sicuri avviene spesso tramite Facebook Ads e account utente compromessi. Questo metodo è stato costantemente sfruttato dagli attori delle minacce per qualche tempo. Combinando questa tattica di distribuzione con la capacità del malware di rubare le informazioni dell'account Facebook di una vittima, i criminali informatici creano un ciclo autosufficiente che alimenta le loro attività dannose.
La catena di infezione della minaccia malware BundleBot
Dopo aver decompresso l'archivio "Google_AI.rar", gli utenti troveranno un file eseguibile denominato "GoogleAI.exe", che è un'applicazione autonoma a file singolo .NET. A sua volta, questa applicazione incorpora ulteriormente un file DLL chiamato "GoogleAI.dll", responsabile del recupero di un archivio ZIP protetto da password da Google Drive.
Nella fase successiva, i contenuti estratti dal file ZIP denominato "ADSNEW-1.0.0.3.zip" rivelano un'altra applicazione .NET a file singolo e autonoma nota come "RiotClientServices.exe". Questa applicazione contiene il payload BundleBot "RiotClientServices.dll", nonché un serializzatore di dati a pacchetto Command-and-Control (C2) denominato "LirarySharing.dll".
Una volta attivato, il malware BundleBot funziona come un ladro/bot nuovo e personalizzato. Utilizza la libreria "LirarySharing.dll" per elaborare e serializzare i dati del pacchetto trasmessi durante la comunicazione del bot con il server C2. Per eludere l'analisi, gli artefatti binari utilizzano tecniche di offuscamento personalizzate e includono una quantità significativa di codice spazzatura.
Il malware BundleBot ha funzionalità invasive minacciose
Le capacità del malware sono allarmanti. Può estrarre furtivamente dati dai browser Web, acquisire schermate, acquisire token Discord, raccogliere informazioni da Telegram e raccogliere i dettagli dell'account Facebook. Il malware funziona come un sofisticato bot per il furto di dati, compromettendo informazioni sensibili da varie fonti all'insaputa dell'utente.
È interessante notare che esiste un secondo campione di BundleBot, quasi identico in tutti gli aspetti tranne che per una differenza fondamentale. Questa variante sfrutta HTTPS per esfiltrare le informazioni rubate a un server remoto. I dati rubati vengono esfiltrati come archivio ZIP, consentendo agli aggressori di trasferire con discrezione le informazioni della vittima senza destare sospetti.
