BundleBot Malware
Hrozivý variant malvéru s názvom BundleBot funguje skryto a vyhýba sa detekcii využívaním techník nasadzovania jedného súboru .NET. Táto metóda umožňuje aktérom hrozby tajne zachytiť citlivé informácie od napadnutých hostiteľov.
BundleBot je známy tým, že využíva samostatný formát dotnet bundle (jednosúborový), čo sťažuje detekciu bezpečnostných systémov. Výsledkom je veľmi nízka alebo dokonca nulová statická detekcia, čo umožňuje, aby malvér zostal na napadnutých zariadeniach nezistený po dlhú dobu.
Podľa zistení odborníkov na kybernetickú bezpečnosť k distribúcii BundleBot bežne dochádza prostredníctvom reklám na Facebooku a kompromitovaných účtov, čo vedie nič netušiacich používateľov na webové stránky, ktoré sa tvária ako bežné programové pomôcky, nástroje AI a hry. Keď používatelia vstúpia na tieto podvodné webové stránky, nevedomky spustia sťahovanie a spustenie škodlivého softvéru, čím ohrozia svoje systémy a citlivé údaje.
Obsah
Kyberzločinci využívajú obľúbené nástroje AI ako návnady na phishing
Webové stránky spojené s útokmi BundleBot Malware prijali taktiku napodobňovania Google Bard, prominentného konverzačného generatívneho chatbota AI vyvinutého spoločnosťou. Tieto podvodné webové stránky lákajú nič netušiace obete tým, že ponúkajú zdanlivo lákavý odkaz na stiahnutie archívu RAR s názvom „Google_AI.rar“. Najmä tieto podvodné archívy sú hosťované v legitímnych službách cloudového úložiska, ako je Dropbox.
Používanie Google Bard ako návnady nie je ničím novým, vzhľadom na rastúcu popularitu nástrojov AI. Kyberzločinci využili tento trend v posledných mesiacoch na oklamanie používateľov, najmä na platformách ako Facebook. Túto stratégiu využívajú na tajnú distribúciu rôznych typov škodlivého softvéru zbierajúceho informácie, ako je napríklad notoricky známy Doenerium .
K distribúcii týchto nebezpečných odkazov často dochádza prostredníctvom reklám na Facebooku a napadnutých používateľských účtov. Túto metódu už nejaký čas vytrvalo využívajú aktéri hrozieb. Spojením tejto distribučnej taktiky so schopnosťou malvéru ukradnúť informácie o účte na Facebooku obete vytvárajú kyberzločinci sebestačný cyklus, ktorý prispieva k ich škodlivým aktivitám.
Infekčný reťazec malvérovej hrozby BundleBot
Po rozbalení archívu 'Google_AI.rar' používatelia nájdu spustiteľný súbor s názvom 'GoogleAI.exe', čo je samostatná aplikácia .NET s jedným súborom. Táto aplikácia ďalej obsahuje súbor DLL s názvom „GoogleAI.dll“, ktorý je zodpovedný za načítanie archívu ZIP chráneného heslom z Disku Google.
V ďalšej fáze obsah extrahovaný zo súboru ZIP s názvom „ADSNEW-1.0.0.3.zip“ odhalí ďalšiu .NET jednosúborovú, samostatnú aplikáciu známu ako „RiotClientServices.exe“. Táto aplikácia nesie užitočné zaťaženie BundleBot „RiotClientServices.dll“, ako aj serializátor paketových údajov Command-and-Control (C2) s názvom „LirarySharing.dll“.
Po aktivácii BundleBot Malware funguje ako vlastný a nový zlodej/bot. Využíva knižnicu 'LirarySharing.dll' na spracovanie a serializáciu paketových dát prenášaných počas komunikácie robota so serverom C2. Aby sa vyhli analýze, binárne artefakty využívajú techniky zahmlievania na mieru a obsahujú značné množstvo nevyžiadaného kódu.
Malvér BundleBot má hrozivé rušivé funkcie
Možnosti malvéru sú alarmujúce. Dokáže tajne extrahovať údaje z webových prehliadačov, zachytávať snímky obrazovky, získavať tokeny Discord, zhromažďovať informácie z telegramu a zbierať podrobnosti o účte na Facebooku. Malvér funguje ako sofistikovaný bot na krádež údajov, ktorý kompromituje citlivé informácie z rôznych zdrojov bez vedomia používateľa.
Je zaujímavé, že existuje druhá vzorka BundleBot, takmer identická vo všetkých aspektoch s výnimkou jedného kľúčového rozdielu. Tento variant využíva HTTPS na exfiltráciu ukradnutých informácií na vzdialený server. Ukradnuté údaje sú exfiltrované ako archív ZIP, čo útočníkom umožňuje diskrétne preniesť informácie o obeti bez vzbudenia podozrenia.
