Вредоносное ПО BundleBot
Опасный вариант вредоносного ПО под названием BundleBot действует скрытно, избегая обнаружения за счет использования методов развертывания одного файла .NET. Этот метод позволяет злоумышленникам незаметно перехватывать конфиденциальную информацию с скомпрометированных хостов.
BundleBot известен тем, что использует автономный формат пакета dotnet (однофайловый), который затрудняет обнаружение системами безопасности. Это приводит к очень низкому или даже нулевому статическому обнаружению, что позволяет вредоносным программам оставаться незамеченными в течение длительного времени на скомпрометированных устройствах.
Согласно выводам экспертов по кибербезопасности, распространение BundleBot обычно происходит через рекламу в Facebook и взломанные аккаунты, что приводит ничего не подозревающих пользователей на веб-сайты, маскирующиеся под обычные программные утилиты, инструменты искусственного интеллекта и игры. Как только пользователи заходят на эти вводящие в заблуждение веб-сайты, они неосознанно запускают загрузку и запуск вредоносного ПО, подвергая риску свои системы и конфиденциальные данные.
Оглавление
Киберпреступники используют популярные инструменты искусственного интеллекта в качестве приманки для фишинга
Веб-сайты, связанные с атаками BundleBot Malware, использовали тактику имитации Google Bard, известного диалогового генеративного чат-бота с искусственным интеллектом, разработанного компанией. Эти вводящие в заблуждение веб-сайты заманивают ничего не подозревающих жертв, предлагая кажущуюся заманчивой ссылку для скачивания архива RAR под названием «Google_AI.rar». Примечательно, что эти мошеннические архивы размещаются в законных облачных хранилищах, таких как Dropbox.
Использование Google Bard в качестве приманки не является чем-то новым, учитывая растущую популярность инструментов ИИ. В последние месяцы киберпреступники воспользовались этой тенденцией для обмана пользователей, особенно на таких платформах, как Facebook. Они используют эту стратегию для скрытного распространения различных типов вредоносных программ для сбора информации, таких как печально известный Doenerium .
Распространение этих небезопасных ссылок часто происходит через рекламу в Facebook и взломанные учетные записи пользователей. Этот метод уже некоторое время упорно используется злоумышленниками. Сочетая эту тактику распространения со способностью вредоносного ПО красть информацию об учетной записи жертвы в Facebook, киберпреступники создают самоподдерживающийся цикл, который подпитывает их вредоносную деятельность.
Цепочка заражения вредоносным ПО BundleBot
После распаковки архива «Google_AI.rar» пользователи обнаружат исполняемый файл с именем «GoogleAI.exe», который представляет собой однофайловое автономное приложение .NET. В свою очередь, это приложение также включает файл DLL с именем «GoogleAI.dll», отвечающий за получение защищенного паролем ZIP-архива с Google Диска.
На следующем этапе содержимое, извлеченное из ZIP-файла с именем «ADSNEW-1.0.0.3.zip», обнаруживает другое однофайловое автономное приложение .NET, известное как «RiotClientServices.exe». Это приложение содержит полезную нагрузку BundleBot «RiotClientServices.dll», а также сериализатор пакетных данных Command-and-Control (C2) с именем «LirarySharing.dll».
После активации вредоносное ПО BundleBot функционирует как пользовательский и новый похититель/бот. Он использует библиотеку LirarySharing.dll для обработки и сериализации пакетных данных, передаваемых во время связи бота с сервером C2. Чтобы избежать анализа, двоичные артефакты используют специально разработанные методы запутывания и содержат значительное количество ненужного кода.
Вредоносная программа BundleBot обладает угрожающими навязчивыми функциями
Возможности вредоносного ПО вызывают тревогу. Он может незаметно извлекать данные из веб-браузеров, делать снимки экрана, получать токены Discord, собирать информацию из Telegram и собирать данные учетной записи Facebook. Вредоносная программа работает как сложный бот для кражи данных, компрометирующий конфиденциальную информацию из различных источников без ведома пользователя.
Интересно, что есть второй образец BundleBot, практически идентичный по всем параметрам, за исключением одного ключевого отличия. Этот вариант использует HTTPS для передачи украденной информации на удаленный сервер. Украденные данные эксфильтрируются в виде ZIP-архива, что позволяет злоумышленникам незаметно передавать информацию жертвы, не вызывая подозрений.
