बन्डलबोट मालवेयर

BundleBot भनिने एक धम्कीपूर्ण मालवेयर भेरियन्ट लुकेको छ, .NET एकल-फाइल डिप्लोइमेन्ट प्रविधिहरू प्रयोग गरेर पत्ता लगाउन बेवास्ता गर्दै। यो विधिले खतरा कर्ताहरूलाई सम्झौता गरिएका होस्टहरूबाट लुकेर संवेदनशील जानकारी खिच्न अनुमति दिन्छ।

BundleBot डटनेट बन्डल (एकल-फाइल) स्व-निहित ढाँचाको शोषणको लागि परिचित छ, जसले सुरक्षा प्रणालीहरूलाई पत्ता लगाउन चुनौतीपूर्ण बनाउँछ। यसले धेरै कम वा शून्य स्थिर पत्ता लगाउने परिणाम दिन्छ, जसले मालवेयरलाई सम्झौता गरिएका यन्त्रहरूमा लामो समयसम्म पत्ता नलाग्न सक्छ।

साइबरसेक्युरिटी विज्ञहरूको निष्कर्षका अनुसार, बन्डलबोटको वितरण सामान्यतया फेसबुक विज्ञापनहरू र सम्झौता खाताहरू मार्फत हुन्छ, जसले अप्रत्याशित प्रयोगकर्ताहरूलाई नियमित कार्यक्रम उपयोगिताहरू, एआई उपकरणहरू, र खेलहरूको रूपमा मास्करेड गर्ने वेबसाइटहरूमा पुर्‍याउँछ। एकपटक प्रयोगकर्ताहरूले यी भ्रामक वेबसाइटहरू पहुँच गरेपछि, तिनीहरूले अनजानमा मालवेयरको डाउनलोड र कार्यान्वयन ट्रिगर गर्छन्, तिनीहरूको प्रणाली र संवेदनशील डेटालाई जोखिममा राख्छन्।

साइबर अपराधीहरूले फिसिङ लुर्सको रूपमा लोकप्रिय एआई उपकरणहरूको फाइदा लिन्छन्

BundleBot Malware आक्रमणहरूसँग जोडिएका वेबसाइटहरूले Google Bard को नक्कल गर्ने रणनीति अपनाएका छन्, कम्पनीद्वारा विकसित एक प्रमुख संवादात्मक जेनेरेटिव एआई च्याटबोट। यी भ्रामक वेबसाइटहरूले 'Google_AI.rar' नामक RAR अभिलेखको लागि प्रलोभनात्मक डाउनलोड लिङ्क प्रस्ताव गरेर अप्रत्याशित पीडितहरूलाई लोभ्याउँछन्। उल्लेखनीय रूपमा, यी धोखाधडी अभिलेखहरू ड्रपबक्स जस्ता वैध क्लाउड भण्डारण सेवाहरूमा होस्ट गरिएका छन्।

AI उपकरणको बढ्दो लोकप्रियतालाई ध्यानमा राख्दै गुगल बार्डको प्रलोभनको रूपमा प्रयोग गर्नु कुनै नयाँ कुरा होइन। साइबर अपराधीहरूले हालैका महिनाहरूमा विशेष गरी फेसबुक जस्ता प्लेटफर्महरूमा प्रयोगकर्ताहरूलाई धोका दिन यो प्रवृत्तिको फाइदा उठाएका छन्। तिनीहरूले कुख्यात डोनेरियम जस्ता विभिन्न प्रकारका सूचना-संकलन मालवेयरहरू चोरी-छिपी वितरण गर्न यो रणनीति प्रयोग गर्छन्।

यी असुरक्षित लिङ्कहरूको वितरण प्रायः फेसबुक विज्ञापनहरू र सम्झौता प्रयोगकर्ता खाताहरू मार्फत हुन्छ। यो विधि केहि समय को लागी धम्की अभिनेताहरु द्वारा लगातार शोषण गरिएको छ। पीडितको Facebook खाता जानकारी लुट्ने मालवेयरको क्षमतासँग यो वितरण रणनीति संयोजन गरेर, साइबर अपराधीहरूले उनीहरूको हानिकारक गतिविधिहरूमा फीड गर्ने आत्म-निर्भर चक्र सिर्जना गर्छन्।

बन्डलबोट मालवेयर थ्रेटको संक्रमण श्रृंखला

'Google_AI.rar' अभिलेख अनप्याक गर्दा, प्रयोगकर्ताहरूले 'GoogleAI.exe' नामको एउटा कार्यान्वयनयोग्य फाइल भेट्टाउनेछन्, जुन .NET एकल-फाइल, आत्म-निहित अनुप्रयोग हो। बदलामा, यो अनुप्रयोगले 'GoogleAI.dll' भनिने DLL फाइललाई थप समावेश गर्दछ, Google ड्राइभबाट पासवर्ड-सुरक्षित ZIP अभिलेख ल्याउनका लागि जिम्मेवार।

अर्को चरणमा, 'ADSNEW-1.0.0.3.zip' नामक ZIP फाइलबाट निकालिएका सामग्रीहरूले अर्को .NET एकल-फाइल, 'RiotClientServices.exe' भनेर चिनिने आत्म-निहित अनुप्रयोग प्रकट गर्दछ। यो अनुप्रयोगले BundleBot पेलोड 'RiotClientServices.dll', साथै 'LirarySharing.dll' नामक कमाण्ड-एन्ड-कन्ट्रोल (C2) प्याकेट डाटा सिरियलाइजर बोक्छ।

एकचोटि सक्रिय भएपछि, बन्डलबोट मालवेयरले अनुकूलन र उपन्यास चोर/बोटको रूपमा कार्य गर्दछ। यसले C2 सर्भरसँग बोटको सञ्चारको क्रममा प्रसारित प्याकेट डाटालाई प्रक्रिया र क्रमबद्ध गर्न 'LirarySharing.dll' पुस्तकालयको प्रयोग गर्दछ। विश्लेषणलाई बेवास्ता गर्न, बाइनरी कलाकृतिहरूले अनुकूलन-निर्मित अस्पष्टता प्रविधिहरू प्रयोग गर्छन् र जंक कोडको महत्त्वपूर्ण मात्रा समावेश गर्दछ।

बन्डलबोट मालवेयरसँग धम्की दिने हस्तक्षेपकारी कार्यहरू छन्

मालवेयरको क्षमताहरू चिन्ताजनक छन्। यसले गुप्त रूपमा वेब ब्राउजरहरूबाट डाटा निकाल्न, स्क्रिनसटहरू खिच्न, डिस्कर्ड टोकनहरू प्राप्त गर्न, टेलिग्रामबाट जानकारी सङ्कलन गर्न, र फेसबुक खाता विवरणहरू काट्न सक्छ। मालवेयरले प्रयोगकर्ताको जानकारी बिना नै विभिन्न स्रोतहरूबाट संवेदनशील जानकारीमा सम्झौता गर्दै, परिष्कृत डाटा चोरी गर्ने बोटको रूपमा काम गर्छ।

चाखलाग्दो कुरा के छ भने, त्यहाँ BundleBot को दोस्रो नमूना छ, एक प्रमुख भिन्नता बाहेक सबै पक्षहरूमा लगभग समान। यो भेरियन्टले रिमोट सर्भरमा चोरी भएको जानकारी बाहिर निकाल्न HTTPS को उपयोग गर्छ। चोरी भएको डाटालाई जिप अभिलेखको रूपमा निकालिएको छ, जसले आक्रमणकारीहरूलाई शंका नगरी पीडितको जानकारीलाई सावधानीपूर्वक स्थानान्तरण गर्न अनुमति दिन्छ।