BundleBot Malware
Uma variante de malware ameaçadora chamada BundleBot tem operado secretamente, evitando a detecção por meio de técnicas de implantação de arquivo único .NET. Esse método permite que os agentes de ameaças capturem informações confidenciais de hosts comprometidos furtivamente.
O BundleBot é conhecido por explorar o formato autocontido do pacote dotnet (arquivo único), o que o torna um desafio para os sistemas de segurança detectarem. Isso resulta em detecção estática muito baixa ou até zero, permitindo que o malware permaneça sem ser detectado por períodos prolongados nos dispositivos comprometidos.
De acordo com as descobertas dos especialistas em segurança cibernética, a distribuição do BundleBot geralmente ocorre por meio de anúncios do Facebook e contas comprometidas, levando usuários desavisados a sites que se disfarçam de utilitários de programa regulares, ferramentas de IA e jogos. Depois que os usuários acessam esses sites enganosos, eles inadvertidamente acionam o download e a execução do malware, colocando em risco seus sistemas e dados confidenciais.
Índice
Os Cibercriminosos Aproveitam as Ferramentas Populares de IA como Iscas de Phishing
Os sites conectados aos ataques do BundleBot Malware adotaram a tática de imitar o Google Bard, um proeminente chatbot de IA gerador de conversação desenvolvido pela empresa. Esses sites enganosos atraem vítimas inocentes, oferecendo um link de download aparentemente atraente para um arquivo RAR chamado 'Google_AI.rar'. Notavelmente, esses arquivos fraudulentos são hospedados em serviços legítimos de armazenamento em nuvem, como o Dropbox.
O uso do Google Bard como isca não é algo novo, considerando a crescente popularidade das ferramentas de IA. Os cibercriminosos aproveitaram essa tendência nos últimos meses para enganar os usuários, principalmente em plataformas como o Facebook. Eles empregam essa estratégia para distribuir furtivamente vários tipos de malware de coleta de informações, como o notório Doenerium.
A distribuição desses links inseguros geralmente ocorre por meio de anúncios do Facebook e contas de usuário comprometidas. Esse método tem sido explorado persistentemente por agentes de ameaças há algum tempo. Ao combinar essa tática de distribuição com a capacidade do malware de furtar as informações da conta do Facebook da vítima, os cibercriminosos criam um ciclo autossustentável que alimenta suas atividades prejudiciais.
A Cadeia de Infecção da Ameaça de Malware BundleBot
Ao descompactar o arquivo 'Google_AI.rar', os usuários encontrarão um arquivo executável chamado 'GoogleAI.exe', que é um aplicativo autônomo de arquivo único .NET. Por sua vez, este aplicativo incorpora ainda um arquivo DLL chamado 'GoogleAI.dll', responsável por buscar um arquivo ZIP protegido por senha do Google Drive.
Na próxima etapa, o conteúdo extraído do arquivo ZIP chamado 'ADSNEW-1.0.0.3.zip' revela outro aplicativo independente de arquivo único .NET conhecido como 'RiotClientServices.exe.' Esse aplicativo carrega a carga útil do BundleBot 'RiotClientServices.dll', bem como um serializador de dados de pacote de comando e controle (C2) chamado 'LirarySharing.dll'.
Uma vez ativado, o BundleBot Malware funciona como um ladrão/bot personalizado e inovador. Ele utiliza a biblioteca 'LirarySharing.dll' para processar e serializar os dados do pacote transmitidos durante a comunicação do bot com o servidor C2. Para evitar a análise, os artefatos binários utilizam técnicas de ofuscação personalizadas e incluem uma quantidade significativa de código indesejado.
O BundleBot Malware tem Funcionalidades Intrusivas Ameaçadoras
As capacidades do malware são alarmantes. Ele pode extrair dados furtivamente de navegadores da Web, capturar capturas de tela, adquirir tokens do Discord, coletar informações do Telegram e coletar detalhes da conta do Facebook. O malware opera como um bot sofisticado de roubo de dados, comprometendo informações confidenciais de várias fontes sem o conhecimento do usuário.
Curiosamente, há uma segunda amostra do BundleBot, quase idêntica em todos os aspectos, exceto por uma diferença fundamental. Essa variante aproveita o HTTPS para exfiltrar as informações roubadas para um servidor remoto. Os dados roubados são exfiltrados como um arquivo ZIP, permitindo que os invasores transfiram discretamente as informações da vítima sem levantar suspeitas.
