„BundleBot“ kenkėjiška programa
Grėsmę keliantis kenkėjiškos programos variantas, vadinamas BundleBot, veikė slaptai, vengdamas aptikimo naudodamas .NET vieno failo diegimo metodus. Šis metodas leidžia grėsmės veikėjams slaptai užfiksuoti slaptą informaciją iš pažeistų prieglobų.
„BundleBot“ yra žinomas kaip „dotnet“ paketo (vieno failo) savarankiško formato išnaudojimas, todėl saugos sistemoms sunku jį aptikti. Dėl to statinis aptikimas labai mažas arba net nulinis, todėl kenkėjiška programa ilgą laiką gali likti neaptikta pažeistuose įrenginiuose.
Remiantis kibernetinio saugumo ekspertų išvadomis, „BundleBot“ platinimas dažniausiai vyksta per „Facebook“ skelbimus ir pažeistas paskyras, todėl nieko neįtariantys vartotojai patenka į svetaines, kurios vaizduojamos kaip įprastos programų paslaugos, dirbtinio intelekto įrankiai ir žaidimai. Kai vartotojai pasiekia šias apgaulingas svetaines, jie nesąmoningai suaktyvina kenkėjiškų programų atsisiuntimą ir vykdymą, sukeldami pavojų savo sistemoms ir neskelbtiniems duomenims.
Turinys
Kibernetiniai nusikaltėliai naudojasi populiariais dirbtinio intelekto įrankiais kaip sukčiavimo masalais
Svetainės, susijusios su „BundleBot“ kenkėjiškų programų atakomis, pasirinko „Google Bard“ imitavimo taktiką, žinomą pokalbių generuojantį AI pokalbių robotą, kurį sukūrė bendrovė. Šios apgaulingos svetainės vilioja nieko neįtariančias aukas, siūlydamos iš pažiūros viliojančią RAR archyvo, pavadinto „Google_AI.rar“, atsisiuntimo nuorodą. Pažymėtina, kad šie nesąžiningi archyvai yra talpinami teisėtose debesų saugojimo paslaugose, tokiose kaip „Dropbox“.
Atsižvelgiant į didėjantį AI įrankių populiarumą, „Google Bard“ naudojimas kaip vilioklis nėra kažkas naujo. Kibernetiniai nusikaltėliai pastaraisiais mėnesiais pasinaudojo šia tendencija, kad apgautų vartotojus, ypač tokiose platformose kaip „Facebook“. Jie taiko šią strategiją norėdami slaptai platinti įvairių tipų informaciją renkančias kenkėjiškas programas, tokias kaip liūdnai pagarsėjęs Doenerium .
Šios nesaugios nuorodos dažnai platinamos per „Facebook“ skelbimus ir pažeistas vartotojų paskyras. Šiuo metodu jau kurį laiką atkakliai naudojasi grėsmės veikėjai. Derindami šią platinimo taktiką su kenkėjiškos programos galimybe pasisavinti aukos „Facebook“ paskyros informaciją, kibernetiniai nusikaltėliai sukuria savarankišką ciklą, kuris prisideda prie jų žalingos veiklos.
„BundleBot“ kenkėjiškų programų grėsmės infekcijos grandinė
Išpakavę „Google_AI.rar“ archyvą, vartotojai ras vykdomąjį failą pavadinimu „GoogleAI.exe“, kuris yra .NET vieno failo, savarankiška programa. Savo ruožtu šioje programoje taip pat yra DLL failas, vadinamas „GoogleAI.dll“, atsakingas už slaptažodžiu apsaugoto ZIP archyvo gavimą iš „Google“ disko.
Kitame etape iš ZIP failo „ADSNEW-1.0.0.3.zip“ ištrauktas turinys atskleidžia kitą .NET vieno failo, savarankišką programą, vadinamą „RiotClientServices.exe“. Ši programa turi „BundleBot“ naudingą apkrovą „RiotClientServices.dll“ ir „Command-and-Control“ (C2) paketinių duomenų serializatorių, pavadintą „LirarySharing.dll“.
Kai suaktyvinta, „BundleBot“ kenkėjiška programa veikia kaip tinkintas ir naujas vagis / robotas. Ji naudoja „LirarySharing.dll“ biblioteką, kad apdorotų ir suskirstytų paketinius duomenis, perduodamus roboto ryšio su C2 serveriu metu. Siekiant išvengti analizės, dvejetainiai artefaktai naudoja pagal užsakymą sukurtus užmaskavimo būdus ir apima daug nepageidaujamo kodo.
„BundleBot“ kenkėjiška programa turi grėsmingų įkyrių funkcijų
Kenkėjiškos programos galimybės kelia nerimą. Jis gali slaptai išgauti duomenis iš žiniatinklio naršyklių, užfiksuoti ekrano kopijas, įsigyti „Discord“ žetonų, rinkti informaciją iš „Telegram“ ir surinkti „Facebook“ paskyros informaciją. Kenkėjiška programa veikia kaip sudėtingas duomenis vagiantis robotas, pažeidžiantis slaptą informaciją iš įvairių šaltinių be vartotojo žinios.
Įdomu tai, kad yra antrasis BundleBot pavyzdys, beveik identiškas visais aspektais, išskyrus vieną pagrindinį skirtumą. Šis variantas naudoja HTTPS, kad pavogtą informaciją išfiltruotų į nuotolinį serverį. Pavogti duomenys yra išfiltruojami kaip ZIP archyvas, leidžiantis užpuolikams diskretiškai perduoti aukos informaciją nesukeliant įtarimo.
