មេរោគ BundleBot

ដោយ Mezo ក្នុង Malware, Stealers

បកប្រែទៅ៖

វ៉ារ្យ៉ង់មេរោគគំរាមកំហែងដែលហៅថា BundleBot បានដំណើរការដោយសម្ងាត់ ដោយគេចពីការរកឃើញដោយប្រើប្រាស់បច្ចេកទេសដាក់ពង្រាយឯកសារ .NET តែមួយ។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងចាប់យកព័ត៌មានរសើបពីម៉ាស៊ីនដែលសម្របសម្រួលដោយលួចលាក់។

BundleBot ត្រូវបានគេស្គាល់ថាសម្រាប់ការទាញយកឯកសារ dotnet bundle (single-file) self-contained format ដែលធ្វើឱ្យវាពិបាកសម្រាប់ប្រព័ន្ធសុវត្ថិភាពក្នុងការរកឃើញ។ វាបណ្តាលឱ្យមានការរកឃើញឋិតិវន្តទាបបំផុត ឬសូម្បីតែសូន្យ ដែលអនុញ្ញាតឱ្យមេរោគនៅតែមិនអាចរកឃើញសម្រាប់រយៈពេលដ៏យូរនៅលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។

យោងតាមការរកឃើញរបស់អ្នកជំនាញផ្នែកសុវត្ថិភាពអ៊ីនធឺណិត ការចែកចាយ BundleBot ជាទូទៅកើតឡើងតាមរយៈ Facebook Ads និងគណនីដែលត្រូវបានសម្របសម្រួល ដែលនាំឱ្យអ្នកប្រើប្រាស់ដែលមិនមានការសង្ស័យទៅកាន់គេហទំព័រដែលក្លែងបន្លំជាឧបករណ៍ប្រើប្រាស់កម្មវិធីធម្មតា ឧបករណ៍ AI និងហ្គេម។ នៅពេលដែលអ្នកប្រើប្រាស់ចូលទៅកាន់គេហទំព័របោកបញ្ឆោតទាំងនេះ ពួកគេចាប់ផ្តើមដំណើរការទាញយក និងដំណើរការមេរោគដោយមិនដឹងខ្លួន ដោយធ្វើឱ្យប្រព័ន្ធ និងទិន្នន័យរសើបរបស់ពួកគេស្ថិតក្នុងហានិភ័យ។

តារាងមាតិកា

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ទាញយកអត្ថប្រយោជន៍នៃឧបករណ៍ AI ដ៏ពេញនិយមជាល្បិចបន្លំ

គេហទំព័រដែលភ្ជាប់ទៅនឹងការវាយប្រហាររបស់ BundleBot Malware បានទទួលយកយុទ្ធសាស្ត្រនៃការធ្វើត្រាប់តាម Google Bard ដែលជា AI chatbot បង្កើតការសន្ទនាដ៏លេចធ្លោមួយដែលត្រូវបានបង្កើតឡើងដោយក្រុមហ៊ុន។ គេហទំព័របោកបញ្ឆោតទាំងនេះទាក់ទាញជនរងគ្រោះដែលមិនមានការសង្ស័យដោយផ្តល់នូវតំណភ្ជាប់ទាញយកដែលហាក់ដូចជាទាក់ទាញសម្រាប់បណ្ណសារ RAR ដែលមានឈ្មោះថា 'Google_AI.rar' ។ គួរកត់សម្គាល់ថាបណ្ណសារក្លែងបន្លំទាំងនេះត្រូវបានបង្ហោះនៅលើសេវាកម្មផ្ទុកពពកស្របច្បាប់ដូចជា Dropbox ជាដើម។

ការប្រើប្រាស់ Google Bard ជាការទាក់ទាញមិនមែនជាអ្វីដែលថ្មីនោះទេ ដោយគិតពីការកើនឡើងនៃប្រជាប្រិយភាពនៃឧបករណ៍ AI ។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានទាញយកអត្ថប្រយោជន៍ពីនិន្នាការនេះក្នុងប៉ុន្មានខែថ្មីៗនេះ ដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់ ជាពិសេសនៅលើវេទិកាដូចជា Facebook ជាដើម។ ពួកគេប្រើប្រាស់យុទ្ធសាស្រ្តនេះដើម្បីលួចចែកចាយនូវប្រភេទផ្សេងៗនៃមេរោគដែលប្រមូលព័ត៌មានដូចជា Doenerium ដ៏ល្បីល្បាញ។

ការចែកចាយតំណភ្ជាប់ដែលមិនមានសុវត្ថិភាពទាំងនេះច្រើនតែកើតឡើងតាមរយៈ Facebook Ads និងគណនីអ្នកប្រើប្រាស់ដែលត្រូវបានសម្របសម្រួល។ វិធីសាស្រ្តនេះត្រូវបានកេងប្រវ័ញ្ចយ៉ាងខ្ជាប់ខ្ជួនដោយអ្នកគំរាមកំហែងសម្រាប់ពេលខ្លះ។ ដោយរួមបញ្ចូលគ្នានូវយុទ្ធសាស្ត្រចែកចាយនេះជាមួយនឹងសមត្ថភាពរបស់មេរោគក្នុងការលួចលាក់ព័ត៌មានគណនី Facebook របស់ជនរងគ្រោះ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបង្កើតវដ្តនៃការទ្រទ្រង់ខ្លួនឯងដែលចូលទៅក្នុងសកម្មភាពបង្កគ្រោះថ្នាក់របស់ពួកគេ។

ខ្សែសង្វាក់ឆ្លងនៃការគំរាមកំហែងមេរោគ BundleBot

នៅពេលពន្លាប័ណ្ណសារ 'Google_AI.rar' អ្នកប្រើប្រាស់នឹងរកឃើញឯកសារដែលអាចប្រតិបត្តិបានដែលមានឈ្មោះថា 'GoogleAI.exe' ដែលជាឯកសារ .NET តែមួយកម្មវិធីដែលមានផ្ទុកដោយខ្លួនឯង។ នៅក្នុងវេន កម្មវិធីនេះរួមបញ្ចូលបន្ថែមនូវឯកសារ DLL ដែលហៅថា 'GoogleAI.dll' ដែលទទួលខុសត្រូវក្នុងការទាញយកប័ណ្ណសារហ្ស៊ីបដែលការពារដោយពាក្យសម្ងាត់ពី Google Drive ។

នៅដំណាក់កាលបន្ទាប់ មាតិកាដែលបានស្រង់ចេញពីឯកសារ ZIP ដែលហៅថា 'ADSNEW-1.0.0.3.zip' បង្ហាញកម្មវិធី .NET តែមួយ ឯកសារតែមួយ ដែលគេស្គាល់ថា 'RiotClientServices.exe ។' កម្មវិធីនេះផ្ទុក BundleBot payload 'RiotClientServices.dll' ក៏ដូចជា Command-and-Control (C2) packet data serializer ដែលមានឈ្មោះថា 'LirarySharing.dll.'

នៅពេលដែលបានធ្វើឱ្យសកម្ម BundleBot Malware មានមុខងារជាអ្នកលួច/bot ផ្ទាល់ខ្លួន និងប្រលោមលោក។ វាប្រើប្រាស់បណ្ណាល័យ 'LirarySharing.dll' ដើម្បីដំណើរការ និងតម្រៀបទិន្នន័យកញ្ចប់ព័ត៌មានដែលបានបញ្ជូនក្នុងអំឡុងពេលទំនាក់ទំនងរបស់ bot ជាមួយម៉ាស៊ីនមេ C2 ។ ដើម្បីគេចចេញពីការវិភាគ វត្ថុបុរាណប្រព័ន្ធគោលពីរប្រើប្រាស់បច្ចេកទេសធ្វើឱ្យខូចទ្រង់ទ្រាយផ្ទាល់ខ្លួន ហើយរួមបញ្ចូលនូវចំនួនដ៏ច្រើននៃកូដឥតបានការ។