BundleBot Malware
Varian perisian hasad mengancam yang dipanggil BundleBot telah beroperasi secara rahsia, mengelak pengesanan dengan memanfaatkan teknik penggunaan fail tunggal .NET. Kaedah ini membolehkan pelaku ancaman menangkap maklumat sensitif daripada hos yang terjejas secara senyap.
BundleBot terkenal kerana mengeksploitasi format dotnet bundle (fail tunggal), yang menjadikannya mencabar untuk dikesan oleh sistem keselamatan. Ini menghasilkan pengesanan statik yang sangat rendah atau sifar, membolehkan perisian hasad kekal tidak dapat dikesan untuk tempoh yang lama pada peranti yang terjejas.
Menurut penemuan pakar keselamatan siber, pengedaran BundleBot biasanya berlaku melalui Iklan Facebook dan akaun yang terjejas, membawa pengguna yang tidak curiga ke tapak web yang menyamar sebagai utiliti program biasa, alatan AI dan permainan. Sebaik sahaja pengguna mengakses tapak web yang menipu ini, mereka tanpa sedar mencetuskan muat turun dan pelaksanaan perisian hasad, meletakkan sistem dan data sensitif mereka pada risiko.
Isi kandungan
Penjenayah Siber Mengambil Kelebihan Alat AI Popular sebagai Gewang Phishing
Tapak web yang disambungkan kepada serangan BundleBot Malware telah menggunakan taktik meniru Google Bard, sebuah chatbot AI generatif perbualan terkemuka yang dibangunkan oleh syarikat itu. Tapak web menipu ini memikat mangsa yang tidak curiga dengan menawarkan pautan muat turun yang kelihatan menarik untuk arkib RAR bernama 'Google_AI.rar.' Terutamanya, arkib penipuan ini dihoskan pada perkhidmatan storan awan yang sah seperti Dropbox.
Penggunaan Google Bard sebagai tarikan bukanlah sesuatu yang baru, memandangkan peningkatan populariti alatan AI. Penjenayah siber telah mengambil kesempatan daripada trend ini dalam beberapa bulan kebelakangan ini untuk menipu pengguna, terutamanya pada platform seperti Facebook. Mereka menggunakan strategi ini untuk mengedarkan pelbagai jenis perisian hasad pengumpul maklumat secara senyap-senyap, seperti Doenerium yang terkenal .
Pengedaran pautan tidak selamat ini sering berlaku melalui Iklan Facebook dan akaun pengguna yang terjejas. Kaedah ini telah dieksploitasi secara berterusan oleh aktor ancaman untuk beberapa lama. Dengan menggabungkan taktik pengedaran ini dengan keupayaan perisian hasad untuk mencuri maklumat akaun Facebook mangsa, penjenayah siber mencipta kitaran mampan diri yang memasuki aktiviti berbahaya mereka.
Rantaian Jangkitan Ancaman Malware BundleBot
Selepas membongkar arkib 'Google_AI.rar', pengguna akan menemui fail boleh laku bernama 'GoogleAI.exe,' yang merupakan fail tunggal .NET, aplikasi serba lengkap. Seterusnya, aplikasi ini menggabungkan fail DLL yang dipanggil 'GoogleAI.dll,' yang bertanggungjawab untuk mengambil arkib ZIP yang dilindungi kata laluan daripada Google Drive.
Pada peringkat seterusnya, kandungan yang diekstrak daripada fail ZIP yang dipanggil 'ADSNEW-1.0.0.3.zip' mendedahkan satu lagi fail tunggal .NET, aplikasi serba lengkap yang dikenali sebagai 'RiotClientServices.exe.' Aplikasi ini membawa muatan BundleBot 'RiotClientServices.dll,' serta penyeri data paket Command-and-Control (C2) bernama 'LirarySharing.dll.'
Setelah diaktifkan, BundleBot Malware berfungsi sebagai pencuri/bot tersuai dan baru. Ia menggunakan perpustakaan 'LirarySharing.dll' untuk memproses dan mensirikan data paket yang dihantar semasa komunikasi bot dengan pelayan C2. Untuk mengelakkan analisis, artifak binari menggunakan teknik pengeliruan yang dibuat tersuai dan memasukkan sejumlah besar kod sampah.
Perisian Hasad BundleBot Mempunyai Fungsi Menceroboh yang Mengancam
Keupayaan perisian hasad adalah membimbangkan. Ia boleh mengekstrak data secara senyap-senyap daripada penyemak imbas Web, menangkap tangkapan skrin, memperoleh token Discord, mengumpulkan maklumat daripada Telegram dan menuai butiran akaun Facebook. Malware ini beroperasi sebagai bot pencuri data yang canggih, menjejaskan maklumat sensitif daripada pelbagai sumber tanpa pengetahuan pengguna.
Menariknya, terdapat sampel kedua BundleBot, hampir sama dalam semua aspek kecuali satu perbezaan utama. Varian ini memanfaatkan HTTPS untuk mengeluarkan maklumat yang dicuri ke pelayan jauh. Data yang dicuri dieksfiltrasi sebagai arkib ZIP, membolehkan penyerang memindahkan maklumat mangsa secara diam-diam tanpa menimbulkan syak wasangka.
