BundleBot Malware
O variantă amenințătoare de malware numită BundleBot a funcționat pe ascuns, evitând detectarea utilizând tehnicile de implementare a fișierului unic .NET. Această metodă permite actorilor de amenințări să capteze informații sensibile de la gazdele compromise pe furiș.
BundleBot este cunoscut pentru exploatarea formatului autonom al pachetului dotnet (fișier unic), ceea ce face ca sistemele de securitate să fie dificil de detectat. Acest lucru are ca rezultat o detecție statică foarte scăzută sau chiar zero, permițând malware-ului să rămână nedetectat pentru perioade prelungite pe dispozitivele compromise.
Conform constatărilor experților în securitate cibernetică, distribuirea BundleBot are loc în mod obișnuit prin reclame Facebook și conturi compromise, conducând utilizatorii nebănuiți către site-uri web care se mascară drept utilitare de program obișnuite, instrumente AI și jocuri. Odată ce utilizatorii accesează aceste site-uri web înșelătoare, aceștia declanșează fără să știe descărcarea și execuția malware-ului, punându-și sistemele și datele sensibile în pericol.
Cuprins
Infractorii cibernetici profită de instrumentele AI populare ca momeli pentru phishing
Site-urile web conectate la atacurile BundleBot Malware au adoptat tactica de a imita Google Bard, un chatbot proeminent AI generativ de conversație dezvoltat de companie. Aceste site-uri web înșelătoare atrag victime nebănuitoare, oferind un link de descărcare aparent atrăgător pentru o arhivă RAR numită „Google_AI.rar”. În special, aceste arhive frauduloase sunt găzduite pe servicii legitime de stocare în cloud precum Dropbox.
Folosirea lui Google Bard ca momeală nu este ceva nou, având în vedere popularitatea tot mai mare a instrumentelor AI. Infractorii cibernetici au profitat de această tendință în ultimele luni pentru a înșela utilizatorii, în special pe platforme precum Facebook. Ei folosesc această strategie pentru a distribui pe furiș diferite tipuri de malware care colectează informații, cum ar fi notoriul Doenerium .
Distribuirea acestor legături nesigure are loc adesea prin reclame Facebook și conturi de utilizator compromise. Această metodă a fost exploatată în mod persistent de către actorii amenințărilor de ceva timp. Combinând această tactică de distribuție cu capacitatea malware-ului de a fura informațiile contului de Facebook al victimei, infractorii cibernetici creează un ciclu auto-susținut care se alimentează în activitățile lor dăunătoare.
Lanțul de infecție al amenințării malware BundleBot
La despachetarea arhivei „Google_AI.rar”, utilizatorii vor găsi un fișier executabil numit „GoogleAI.exe”, care este o aplicație autonomă, cu un singur fișier .NET. La rândul său, această aplicație încorporează în continuare un fișier DLL numit „GoogleAI.dll”, responsabil pentru preluarea unei arhive ZIP protejate prin parolă din Google Drive.
În etapa următoare, conținutul extras din fișierul ZIP numit „ADSNEW-1.0.0.3.zip” dezvăluie o altă aplicație autonomă .NET cu un singur fișier, cunoscută sub numele de „RiotClientServices.exe”. Această aplicație poartă încărcătura utilă BundleBot „RiotClientServices.dll”, precum și un serializator de date de pachete de comandă și control (C2) numit „LirarySharing.dll”.
Odată activat, BundleBot Malware funcționează ca un furator/bot personalizat și nou. Utilizează biblioteca „LirarySharing.dll” pentru a procesa și a serializa pachetele de date transmise în timpul comunicării botului cu serverul C2. Pentru a evita analizele, artefactele binare folosesc tehnici de ofuscare personalizate și includ o cantitate semnificativă de cod nedorit.
Programul malware BundleBot are funcționalități intruzive amenințătoare
Capacitățile malware-ului sunt alarmante. Poate extrage pe furiș date din browsere web, poate face capturi de ecran, poate achiziționa jetoane Discord, aduna informații de pe Telegram și poate colecta detaliile contului Facebook. Malware-ul funcționează ca un robot sofisticat de furt de date, compromițând informații sensibile din diverse surse fără știrea utilizatorului.
Interesant este că există un al doilea eșantion de BundleBot, aproape identic din toate punctele de vedere, cu excepția unei diferențe cheie. Această variantă folosește HTTPS pentru a exfiltra informațiile furate pe un server la distanță. Datele furate sunt exfiltrate ca o arhivă ZIP, permițând atacatorilor să transfere discret informațiile victimei fără a ridica suspiciuni.
