Zlonamerna programska oprema BundleBot
Nevarna različica zlonamerne programske opreme, imenovana BundleBot, deluje prikrito in se izogiba odkrivanju z uporabo tehnik uvajanja .NET v eni datoteki. Ta metoda akterjem groženj omogoča, da prikrito zajamejo občutljive informacije z ogroženih gostiteljev.
BundleBot je znan po tem, da izkorišča samostojni format dotnet bundle (ena datoteka), zaradi česar ga varnostni sistemi težko zaznajo. Posledica tega je zelo nizko ali celo ničelno statično zaznavanje, kar omogoča, da zlonamerna programska oprema ostane neodkrita dlje časa na ogroženih napravah.
Glede na ugotovitve strokovnjakov za kibernetsko varnost se distribucija BundleBot običajno zgodi prek Facebook oglasov in ogroženih računov, kar vodi nič hudega sluteče uporabnike na spletna mesta, ki se predstavljajo kot običajni programski pripomočki, orodja AI in igre. Ko uporabniki enkrat dostopajo do teh zavajajočih spletnih mest, nevede sprožijo prenos in izvajanje zlonamerne programske opreme, s čimer ogrozijo svoje sisteme in občutljive podatke.
Kazalo
Kibernetski kriminalci izkoriščajo priljubljena orodja AI kot vabe za lažno predstavljanje
Spletna mesta, povezana z napadi zlonamerne programske opreme BundleBot, so sprejela taktiko posnemanja Google Barda, uglednega pogovornega generativnega klepetalnega robota z umetno inteligenco, ki ga je razvilo podjetje. Ta goljufiva spletna mesta privabljajo nič hudega sluteče žrtve s ponudbo na videz vabljive povezave za prenos arhiva RAR z imenom »Google_AI.rar«. Predvsem ti goljufivi arhivi gostujejo v zakonitih storitvah za shranjevanje v oblaku, kot je Dropbox.
Uporaba Google Barda kot vabe ni nekaj novega, glede na vse večjo priljubljenost orodij AI. Kibernetski kriminalci so ta trend v zadnjih mesecih izkoristili za zavajanje uporabnikov, zlasti na platformah, kot je Facebook. To strategijo uporabljajo za prikrito distribucijo različnih vrst zlonamerne programske opreme za zbiranje informacij, kot je razvpiti Doenerium .
Distribucija teh nevarnih povezav pogosto poteka prek Facebook oglasov in ogroženih uporabniških računov. To metodo akterji groženj vztrajno izkoriščajo že nekaj časa. S kombinacijo te distribucijske taktike in zmožnosti zlonamerne programske opreme, da ukrade podatke o žrtvinem računu na Facebooku, kibernetski kriminalci ustvarijo samozadostni krog, ki se napaja v njihovih škodljivih dejavnostih.
Veriga okužbe z grožnjo zlonamerne programske opreme BundleBot
Po razpakiranju arhiva »Google_AI.rar« bodo uporabniki našli izvedljivo datoteko z imenom »GoogleAI.exe«, ki je samostojna aplikacija .NET z eno datoteko. Po drugi strani ta aplikacija dodatno vključuje datoteko DLL, imenovano "GoogleAI.dll", ki je odgovorna za pridobivanje arhiva ZIP, zaščitenega z geslom, iz Google Drive.
V naslednji fazi vsebina, ekstrahirana iz datoteke ZIP, imenovane 'ADSNEW-1.0.0.3.zip', razkrije še eno samostojno aplikacijo .NET z eno datoteko, znano kot 'RiotClientServices.exe.' Ta aplikacija nosi obremenitev BundleBot 'RiotClientServices.dll,' kot tudi serializator paketnih podatkov Command-and-Control (C2) z imenom 'LirarySharing.dll.'
Ko je zlonamerna programska oprema BundleBot aktivirana, deluje kot prilagojen in nov kradljiv/bot. Uporablja knjižnico 'LirarySharing.dll' za obdelavo in serializacijo paketnih podatkov, poslanih med komunikacijo bota s strežnikom C2. Da bi se izognili analizi, binarni artefakti uporabljajo po meri izdelane tehnike zakrivanja in vključujejo precejšnjo količino neželene kode.
Zlonamerna programska oprema BundleBot ima nevarne in vsiljive funkcije
Zmogljivosti zlonamerne programske opreme so zaskrbljujoče. Lahko prikrito izvleče podatke iz spletnih brskalnikov, zajame posnetke zaslona, pridobi žetone Discord, zbere informacije iz Telegrama in pridobi podatke o računu Facebook. Zlonamerna programska oprema deluje kot sofisticiran bot za krajo podatkov, ki ogroža občutljive podatke iz različnih virov brez vednosti uporabnika.
Zanimivo je, da obstaja drugi vzorec BundleBot, skoraj enak v vseh vidikih, razen v eni ključni razliki. Ta različica uporablja HTTPS za izločanje ukradenih informacij na oddaljeni strežnik. Ukradeni podatki so eksfiltrirani kot arhiv ZIP, kar napadalcem omogoča diskreten prenos podatkov žrtve, ne da bi pri tem vzbudili sum.
