Złośliwe oprogramowanie BundleBot
Groźny wariant złośliwego oprogramowania o nazwie BundleBot działa potajemnie, unikając wykrycia, wykorzystując techniki wdrażania pojedynczego pliku .NET. Ta metoda umożliwia cyberprzestępcom potajemne przechwytywanie poufnych informacji z zaatakowanych hostów.
BundleBot jest znany z wykorzystywania samodzielnego formatu pakietu dotnet (pojedynczy plik), co utrudnia wykrycie przez systemy bezpieczeństwa. Skutkuje to bardzo niskim lub nawet zerowym wykrywaniem statycznym, dzięki czemu złośliwe oprogramowanie pozostaje niewykryte przez dłuższy czas na zaatakowanych urządzeniach.
Zgodnie z ustaleniami ekspertów ds. cyberbezpieczeństwa, dystrybucja BundleBota często odbywa się za pośrednictwem reklam na Facebooku i przejętych kont, prowadząc niczego niepodejrzewających użytkowników do stron internetowych udających zwykłe programy narzędziowe, narzędzia sztucznej inteligencji i gry. Gdy użytkownicy uzyskują dostęp do tych oszukańczych witryn, nieświadomie uruchamiają pobieranie i uruchamianie złośliwego oprogramowania, narażając swoje systemy i poufne dane na ryzyko.
Spis treści
Cyberprzestępcy wykorzystują popularne narzędzia sztucznej inteligencji jako przynętę do phishingu
Witryny powiązane z atakami BundleBot Malware przyjęły taktykę imitowania Google Bard, opracowanego przez firmę wybitnego konwersacyjnego chatbota generującego sztuczną inteligencję. Te oszukańcze strony internetowe wabią niczego niepodejrzewające ofiary, oferując pozornie kuszący link do pobrania archiwum RAR o nazwie „Google_AI.rar”. Warto zauważyć, że te oszukańcze archiwa są hostowane w legalnych usługach przechowywania danych w chmurze, takich jak Dropbox.
Wykorzystanie Google Bard jako przynęty nie jest niczym nowym, biorąc pod uwagę rosnącą popularność narzędzi AI. Cyberprzestępcy wykorzystali ten trend w ostatnich miesiącach do oszukiwania użytkowników, zwłaszcza na platformach takich jak Facebook. Wykorzystują tę strategię do potajemnego rozpowszechniania różnego rodzaju złośliwego oprogramowania do zbierania informacji, takiego jak cieszący się złą sławą Doenerium .
Dystrybucja tych niebezpiecznych linków często odbywa się za pośrednictwem reklam na Facebooku i przejętych kont użytkowników. Ta metoda jest od pewnego czasu uporczywie wykorzystywana przez cyberprzestępców. Łącząc tę taktykę dystrybucji ze zdolnością złośliwego oprogramowania do kradzieży informacji o koncie ofiary na Facebooku, cyberprzestępcy tworzą samopodtrzymujący się cykl, który zasila ich szkodliwe działania.
Łańcuch infekcji związany z zagrożeniem złośliwym oprogramowaniem BundleBot
Po rozpakowaniu archiwum „Google_AI.rar” użytkownicy znajdą plik wykonywalny o nazwie „GoogleAI.exe”, który jest jednoplikową, samodzielną aplikacją platformy .NET. Z kolei ta aplikacja dodatkowo zawiera plik DLL o nazwie „GoogleAI.dll”, odpowiedzialny za pobieranie chronionego hasłem archiwum ZIP z Dysku Google.
W następnym etapie zawartość wyodrębniona z pliku ZIP o nazwie „ADSNEW-1.0.0.3.zip” ujawnia kolejną, jednoplikową, samodzielną aplikację .NET, znaną jako „RiotClientServices.exe”. Ta aplikacja przenosi ładunek BundleBot „RiotClientServices.dll”, a także serializator danych pakietowych Command-and-Control (C2) o nazwie „LirarySharing.dll”.
Po aktywacji BundleBot Malware działa jako niestandardowy i nowatorski złodziej/bot. Wykorzystuje bibliotekę „LirarySharing.dll” do przetwarzania i serializacji danych pakietowych przesyłanych podczas komunikacji bota z serwerem C2. Aby uniknąć analizy, artefakty binarne wykorzystują niestandardowe techniki zaciemniania i zawierają znaczną ilość niepotrzebnego kodu.
Złośliwe oprogramowanie BundleBot ma groźne i natrętne funkcje
Możliwości tego złośliwego oprogramowania są alarmujące. Może potajemnie wydobywać dane z przeglądarek internetowych, robić zrzuty ekranu, zdobywać tokeny Discord, zbierać informacje z Telegramu i zbierać dane konta na Facebooku. Złośliwe oprogramowanie działa jako wyrafinowany bot kradnący dane, narażając poufne informacje z różnych źródeł bez wiedzy użytkownika.
Co ciekawe, istnieje druga próbka BundleBota, prawie identyczna we wszystkich aspektach, z wyjątkiem jednej kluczowej różnicy. Ten wariant wykorzystuje protokół HTTPS do eksfiltracji skradzionych informacji na zdalny serwer. Skradzione dane są eksfiltrowane jako archiwum ZIP, co umożliwia atakującym dyskretne przesyłanie informacji o ofierze bez wzbudzania podejrzeń.
