BundleBot skadelig programvare
En truende malware-variant kalt BundleBot har operert i det skjulte, og unngår oppdagelse ved å utnytte .NET-enkeltfil-distribusjonsteknikker. Denne metoden lar trusselaktører fange sensitiv informasjon fra kompromitterte verter snikende.
BundleBot er kjent for å utnytte dotnet-bunten (enkeltfil) selvstendig format, noe som gjør det utfordrende for sikkerhetssystemer å oppdage. Dette resulterer i svært lav eller til og med null statisk deteksjon, slik at skadelig programvare kan forbli uoppdaget i lengre perioder på de kompromitterte enhetene.
I følge funnene til cybersikkerhetseksperter skjer distribusjonen av BundleBot vanligvis gjennom Facebook-annonser og kompromitterte kontoer, noe som fører intetanende brukere til nettsteder som utgir seg for vanlige programverktøy, AI-verktøy og spill. Når brukere får tilgang til disse villedende nettstedene, utløser de ubevisst nedlasting og kjøring av skadelig programvare, noe som setter deres systemer og sensitive data i fare.
Innholdsfortegnelse
Nettkriminelle drar nytte av populære AI-verktøy som phishing-lokker
Nettstedene knyttet til BundleBot Malware-angrep har tatt i bruk taktikken med å imitere Google Bard, en fremtredende generativ AI-chatbot utviklet av selskapet. Disse villedende nettstedene lokker intetanende ofre ved å tilby en tilsynelatende fristende nedlastingslenke for et RAR-arkiv kalt 'Google_AI.rar'. Spesielt er disse uredelige arkivene vert for legitime skylagringstjenester som Dropbox.
Bruken av Google Bard som lokkemiddel er ikke noe nytt, tatt i betraktning den økende populariteten til AI-verktøy. Nettkriminelle har utnyttet denne trenden de siste månedene for å lure brukere, spesielt på plattformer som Facebook. De bruker denne strategien for å snikende distribuere ulike typer informasjonsinnhentende skadelig programvare, for eksempel det beryktede Doenerium .
Distribusjonen av disse usikre koblingene skjer ofte gjennom Facebook-annonser og kompromitterte brukerkontoer. Denne metoden har vært vedvarende utnyttet av trusselaktører i noen tid. Ved å kombinere denne distribusjonstaktikken med skadelig programvares evne til å stjele et offers Facebook-kontoinformasjon, skaper nettkriminelle en selvopprettholdende syklus som inngår i deres skadelige aktiviteter.
Infeksjonskjeden til BundleBot Malware-trussel
Ved utpakking av 'Google_AI.rar'-arkivet vil brukerne finne en kjørbar fil med navnet 'GoogleAI.exe', som er en .NET-enkeltfil, selvstendig applikasjon. På sin side inneholder denne applikasjonen ytterligere en DLL-fil kalt 'GoogleAI.dll', som er ansvarlig for å hente et passordbeskyttet ZIP-arkiv fra Google Disk.
I neste trinn avslører innholdet som er hentet fra ZIP-filen kalt 'ADSNEW-1.0.0.3.zip' en annen .NET enkeltfil, selvstendig applikasjon kjent som 'RiotClientServices.exe.' Denne applikasjonen har BundleBot-nyttelasten 'RiotClientServices.dll' samt en Command-and-Control (C2) pakkedataserializer kalt 'LirarySharing.dll.'
Når den er aktivert, fungerer BundleBot Malware som en tilpasset og ny stjeler/bot. Den bruker 'LirarySharing.dll'-biblioteket til å behandle og serialisere pakkedataene som sendes under botens kommunikasjon med C2-serveren. For å unngå analyse, bruker de binære artefaktene skreddersydde obfuskeringsteknikker og inkluderer en betydelig mengde søppelkode.
BundleBot Malware har truende påtrengende funksjoner
Mulighetene til skadelig programvare er alarmerende. Den kan snikende trekke ut data fra nettlesere, ta skjermbilder, skaffe Discord-tokens, samle informasjon fra Telegram og samle Facebook-kontodetaljer. Skadevaren fungerer som en sofistikert datastjelingsrobot, som kompromitterer sensitiv informasjon fra ulike kilder uten brukerens viten.
Interessant nok er det et annet utvalg av BundleBot, nesten identisk i alle aspekter bortsett fra én nøkkelforskjell. Denne varianten utnytter HTTPS for å eksfiltrere den stjålne informasjonen til en ekstern server. De stjålne dataene eksfiltreres som et ZIP-arkiv, slik at angriperne diskret kan overføre offerets informasjon uten å vekke mistanke.
