BundleBot ļaunprātīga programmatūra
Draudošs ļaunprogrammatūras variants BundleBot ir darbojies slēpti, izvairoties no atklāšanas, izmantojot .NET viena faila izvietošanas metodes. Šī metode ļauj apdraudējuma dalībniekiem slepeni iegūt sensitīvu informāciju no apdraudētiem saimniekiem.
BundleBot ir pazīstams ar dotnet paketes (viena faila) autonomā formāta izmantošanu, kas drošības sistēmām padara to grūti atklāt. Tas rada ļoti zemu vai pat nulles statisko noteikšanu, ļaujot ļaunprātīgai programmatūrai ilgstoši palikt neatklātai uzlauztajās ierīcēs.
Saskaņā ar kiberdrošības ekspertu konstatējumiem, BundleBot izplatīšana parasti notiek, izmantojot Facebook reklāmas un apdraudētus kontus, novirzot nenojaušus lietotājus uz vietnēm, kas tiek maskētas kā parastās programmu utilītas, AI rīki un spēles. Kad lietotāji piekļūst šīm maldinošajām vietnēm, viņi neapzināti aktivizē ļaunprātīgas programmatūras lejupielādi un izpildi, pakļaujot riskam savas sistēmas un sensitīvos datus.
Satura rādītājs
Kibernoziedznieki izmanto populāros AI rīkus kā pikšķerēšanas vilinājumus
Vietnēs, kas saistītas ar BundleBot ļaunprātīgas programmatūras uzbrukumiem, ir izmantota Google Bard atdarināšanas taktika, kas ir uzņēmuma izstrādāts ievērojams sarunvalodas ģeneratīvs AI tērzēšanas robots. Šīs maldinošās vietnes pievilina nenojaušos upurus, piedāvājot šķietami vilinošu lejupielādes saiti RAR arhīvam ar nosaukumu Google_AI.rar. Proti, šie krāpnieciskie arhīvi tiek mitināti likumīgos mākoņa krātuves pakalpojumos, piemēram, Dropbox.
Google Bard izmantošana kā vilinājums nav nekas jauns, ņemot vērā AI rīku pieaugošo popularitāti. Kibernoziedznieki pēdējo mēnešu laikā ir izmantojuši šo tendenci, lai maldinātu lietotājus, jo īpaši tādās platformās kā Facebook. Viņi izmanto šo stratēģiju, lai slepeni izplatītu dažāda veida informācijas vākšanas ļaunprātīgu programmatūru, piemēram, bēdīgi slaveno Doenerium .
Šo nedrošo saišu izplatīšana bieži notiek, izmantojot Facebook reklāmas un apdraudētus lietotāju kontus. Šo metodi jau kādu laiku ir neatlaidīgi izmantojuši draudu dalībnieki. Apvienojot šo izplatīšanas taktiku ar ļaunprogrammatūras spēju izzagt upura Facebook konta informāciju, kibernoziedznieki izveido pašpietiekamu ciklu, kas ieplūst viņu kaitīgajās darbībās.
BundleBot ļaunprātīgas programmatūras draudu infekcijas ķēde
Izpakojot Google_AI.rar arhīvu, lietotāji atradīs izpildāmu failu ar nosaukumu GoogleAI.exe, kas ir .NET viena faila, autonoma lietojumprogramma. Savukārt šajā lietojumprogrammā ir iekļauts arī DLL fails ar nosaukumu GoogleAI.dll, kas ir atbildīgs par ar paroli aizsargāta ZIP arhīva izgūšanu no Google diska.
Nākamajā posmā saturs, kas izvilkts no ZIP faila ar nosaukumu “ADSNEW-1.0.0.3.zip”, atklāj citu .NET viena faila, autonomu lietojumprogrammu, kas pazīstama kā “RiotClientServices.exe”. Šī lietojumprogramma satur BundleBot lietderīgo slodzi “RiotClientServices.dll”, kā arī Command-and-Control (C2) pakešdatu serializatoru ar nosaukumu “LirarySharing.dll”.
Pēc aktivizēšanas BundleBot ļaunprātīgā programmatūra darbojas kā pielāgots un jauns zaglis/robots. Tā izmanto bibliotēku LirarySharing.dll, lai apstrādātu un serializētu pakešu datus, kas pārsūtīti robota saziņas laikā ar C2 serveri. Lai izvairītos no analīzes, binārie artefakti izmanto pēc pasūtījuma izgatavotas neskaidrības metodes un ietver ievērojamu daudzumu nevēlamā koda.
BundleBot ļaunprogrammatūrai ir apdraudošas uzmācīgas funkcijas
Ļaunprātīgās programmatūras iespējas ir satraucošas. Tas var slepeni iegūt datus no tīmekļa pārlūkprogrammām, tvert ekrānuzņēmumus, iegūt Discord marķierus, apkopot informāciju no Telegram un iegūt Facebook konta informāciju. Ļaunprātīga programmatūra darbojas kā sarežģīts datu zagšanas robots, kas bez lietotāja ziņas apdraud sensitīvu informāciju no dažādiem avotiem.
Interesanti, ka ir otrs BundleBot paraugs, kas ir gandrīz identisks visos aspektos, izņemot vienu galveno atšķirību. Šis variants izmanto HTTPS, lai izfiltrētu nozagto informāciju uz attālo serveri. Nozagtie dati tiek izfiltrēti kā ZIP arhīvs, kas ļauj uzbrucējiem diskrēti pārsūtīt upura informāciju, neradot aizdomas.
