BundleBot-malware
Een bedreigende malwarevariant, BundleBot genaamd, heeft in het geheim geopereerd en detectie omzeild door gebruik te maken van .NET-implementatietechnieken voor één bestand. Met deze methode kunnen bedreigingsactoren heimelijk gevoelige informatie van gecompromitteerde hosts vastleggen.
BundleBot staat bekend om het exploiteren van het op zichzelf staande dotnet-bundelformaat (enkel bestand), waardoor het voor beveiligingssystemen een uitdaging is om dit te detecteren. Dit resulteert in zeer lage of zelfs geen statische detectie, waardoor de malware lange tijd onopgemerkt kan blijven op de gecompromitteerde apparaten.
Volgens de bevindingen van cyberbeveiligingsexperts vindt de verspreiding van BundleBot gewoonlijk plaats via Facebook-advertenties en gecompromitteerde accounts, waardoor nietsvermoedende gebruikers naar websites worden geleid die zich voordoen als reguliere programmahulpprogramma's, AI-tools en games. Zodra gebruikers deze misleidende websites bezoeken, activeren ze onbewust het downloaden en uitvoeren van de malware, waardoor hun systemen en gevoelige gegevens gevaar lopen.
Inhoudsopgave
Cybercriminelen profiteren van populaire AI-tools als phishing-lokaas
De websites die verband houden met de BundleBot Malware-aanvallen hebben de tactiek overgenomen om Google Bard te imiteren, een prominente conversatie genererende AI-chatbot ontwikkeld door het bedrijf. Deze misleidende websites lokken nietsvermoedende slachtoffers door een schijnbaar verleidelijke downloadlink aan te bieden voor een RAR-archief met de naam 'Google_AI.rar'. Deze frauduleuze archieven worden met name gehost op legitieme cloudopslagdiensten zoals Dropbox.
Het gebruik van Google Bard als lokaas is niet iets nieuws, gezien de toenemende populariteit van AI-tools. Cybercriminelen hebben de afgelopen maanden van deze trend geprofiteerd om gebruikers te misleiden, met name op platforms zoals Facebook. Ze passen deze strategie toe om heimelijk verschillende soorten malware voor het verzamelen van informatie te verspreiden, zoals het beruchte Doenerium .
De verspreiding van deze onveilige links gebeurt vaak via Facebook-advertenties en gecompromitteerde gebruikersaccounts. Deze methode wordt al geruime tijd aanhoudend uitgebuit door bedreigingsactoren. Door deze distributietactiek te combineren met het vermogen van de malware om de Facebook-accountgegevens van een slachtoffer te stelen, creëren cybercriminelen een zelfvoorzienende cyclus die hun schadelijke activiteiten voedt.
De infectieketen van de BundleBot-malwarebedreiging
Bij het uitpakken van het 'Google_AI.rar'-archief vinden gebruikers een uitvoerbaar bestand met de naam 'GoogleAI.exe', een op zichzelf staande .NET-toepassing met één bestand. Deze applicatie bevat op zijn beurt een DLL-bestand met de naam 'GoogleAI.dll', dat verantwoordelijk is voor het ophalen van een met een wachtwoord beveiligd ZIP-archief van Google Drive.
In de volgende fase onthult de inhoud die is geëxtraheerd uit het ZIP-bestand met de naam 'ADSNEW-1.0.0.3.zip' een andere .NET-toepassing met één bestand die bekend staat als 'RiotClientServices.exe'. Deze applicatie bevat de BundleBot-payload 'RiotClientServices.dll', evenals een Command-and-Control (C2)-serializer voor pakketgegevens met de naam 'LirarySharing.dll'.
Eenmaal geactiveerd, functioneert de BundleBot Malware als een aangepaste en nieuwe stealer/bot. Het maakt gebruik van de 'LirarySharing.dll'-bibliotheek om de pakketgegevens te verwerken en te serialiseren die worden verzonden tijdens de communicatie van de bot met de C2-server. Om analyse te omzeilen, maken de binaire artefacten gebruik van op maat gemaakte verduisteringstechnieken en bevatten ze een aanzienlijke hoeveelheid ongewenste code.
De BundleBot-malware heeft bedreigende opdringerige functionaliteiten
De mogelijkheden van de malware zijn alarmerend. Het kan heimelijk gegevens uit webbrowsers halen, screenshots maken, Discord-tokens verkrijgen, informatie van Telegram verzamelen en Facebook-accountgegevens verzamelen. De malware werkt als een geavanceerde datastelende bot, die zonder medeweten van de gebruiker gevoelige informatie uit verschillende bronnen in gevaar brengt.
Interessant is dat er een tweede exemplaar van BundleBot is, bijna identiek in alle aspecten behalve één belangrijk verschil. Deze variant maakt gebruik van HTTPS om de gestolen informatie naar een externe server te exfiltreren. De gestolen gegevens worden geëxfiltreerd als een ZIP-archief, waardoor de aanvallers de informatie van het slachtoffer discreet kunnen overdragen zonder argwaan te wekken.
