BundleBot 멀웨어

Malware, Stealers년에 Mezo 년까지

번역 :

BundleBot이라는 위협적인 맬웨어 변종은 .NET 단일 파일 배포 기술을 활용하여 탐지를 피하면서 은밀하게 작동하고 있습니다. 이 방법을 사용하면 위협 행위자가 손상된 호스트에서 은밀하게 중요한 정보를 캡처할 수 있습니다.

BundleBot은 보안 시스템이 탐지하기 어려운 dotnet 번들(단일 파일) 자체 포함 형식을 악용하는 것으로 알려져 있습니다. 그 결과 정적 탐지가 매우 낮거나 심지어 0이 되어 손상된 장치에서 멀웨어가 오랫동안 탐지되지 않은 상태로 유지될 수 있습니다.

사이버 보안 전문가의 조사 결과에 따르면 BundleBot의 배포는 일반적으로 Facebook 광고 및 손상된 계정을 통해 발생하며 순진한 사용자를 일반 프로그램 유틸리티, AI 도구 및 게임으로 위장한 웹사이트로 유도합니다. 사용자가 이러한 사기성 웹 사이트에 액세스하면 자신도 모르게 맬웨어의 다운로드 및 실행을 트리거하여 시스템과 민감한 데이터를 위험에 빠뜨립니다.

사이버 범죄자는 인기 있는 AI 도구를 피싱 미끼로 활용합니다.

BundleBot Malware 공격에 연결된 웹사이트는 회사에서 개발한 유명한 대화 생성 AI 챗봇인 Google Bard를 모방하는 전술을 채택했습니다. 이러한 사기성 웹사이트는 'Google_AI.rar'라는 이름의 RAR 아카이브에 대한 매력적인 다운로드 링크를 제공하여 순진한 피해자를 유인합니다. 특히 이러한 사기성 아카이브는 Dropbox와 같은 합법적인 클라우드 스토리지 서비스에서 호스팅됩니다.

AI 도구의 인기가 높아지는 것을 고려할 때 Google Bard를 미끼로 사용하는 것은 새로운 것이 아닙니다. 사이버 범죄자들은 최근 몇 달 동안 특히 Facebook과 같은 플랫폼에서 사용자를 속이기 위해 이러한 추세를 이용했습니다. 그들은 이 전략을 사용하여 악명 높은 Doenerium 과 같은 다양한 유형의 정보 수집 악성 코드를 은밀하게 배포합니다.

이러한 안전하지 않은 링크의 배포는 종종 Facebook 광고 및 손상된 사용자 계정을 통해 발생합니다. 이 방법은 한동안 위협 행위자들에 의해 지속적으로 악용되었습니다. 이 배포 전략과 피해자의 Facebook 계정 정보를 훔치는 맬웨어의 능력을 결합함으로써 사이버 범죄자는 유해한 활동에 영향을 미치는 자급자족 주기를 만듭니다.

BundleBot 악성코드 위협의 감염 사슬

'Google_AI.rar' 아카이브의 압축을 풀면 사용자는 .NET 단일 파일, 자체 포함 애플리케이션인 'GoogleAI.exe'라는 실행 파일을 찾을 수 있습니다. 또한 이 애플리케이션은 Google 드라이브에서 비밀번호로 보호된 ZIP 아카이브를 가져오는 역할을 하는 'GoogleAI.dll'이라는 DLL 파일을 통합합니다.

다음 단계에서 'ADSNEW-1.0.0.3.zip'이라는 ZIP 파일에서 추출된 콘텐츠는 'RiotClientServices.exe'라는 또 다른 .NET 단일 파일 자체 포함 애플리케이션을 나타냅니다. 이 애플리케이션은 BundleBot 페이로드 'RiotClientServices.dll'과 'LirarySharing.dll'이라는 명령 및 제어(C2) 패킷 데이터 직렬 변환기를 전달합니다.

일단 활성화되면 BundleBot Malware는 사용자 지정 및 새로운 스틸러/봇으로 작동합니다. 'LirarySharing.dll' 라이브러리를 활용하여 봇이 C2 서버와 통신하는 동안 전송되는 패킷 데이터를 처리하고 직렬화합니다. 분석을 피하기 위해 바이너리 아티팩트는 맞춤형 난독화 기술을 활용하고 상당한 양의 정크 코드를 포함합니다.