Malware BundleBot
Një variant kërcënues malware i quajtur BundleBot ka funksionuar fshehurazi, duke shmangur zbulimin duke përdorur teknikat e vendosjes së një skedari .NET. Kjo metodë i lejon aktorët e kërcënimit të kapin informacione të ndjeshme nga hostet e komprometuar në mënyrë të fshehtë.
BundleBot është i njohur për shfrytëzimin e formatit të pavarur të paketës dotnet (me një skedar), gjë që e bën atë sfidues për zbulimin e sistemeve të sigurisë. Kjo rezulton në zbulim statik shumë të ulët ose edhe zero, duke lejuar që malware të mbetet i pazbuluar për periudha të gjata në pajisjet e komprometuara.
Sipas gjetjeve të ekspertëve të sigurisë kibernetike, shpërndarja e BundleBot zakonisht ndodh përmes Facebook Ads dhe llogarive të komprometuara, duke i çuar përdoruesit që nuk dyshojnë në faqet e internetit që maskohen si shërbime të rregullta programi, mjete AI dhe lojëra. Sapo përdoruesit të hyjnë në këto faqe interneti mashtruese, ata në mënyrë të pavetëdijshme shkaktojnë shkarkimin dhe ekzekutimin e malware, duke vënë në rrezik sistemet dhe të dhënat e tyre të ndjeshme.
Tabela e Përmbajtjes
Kriminelët kibernetikë përfitojnë nga mjetet e njohura të AI si joshje për phishing
Uebsajtet e lidhura me sulmet e Malware të BundleBot kanë adoptuar taktikën e imitimit të Google Bard, një chatbot i shquar gjenerues i AI i zhvilluar nga kompania. Këto faqe interneti mashtruese joshin viktima që nuk dyshojnë duke ofruar një lidhje në dukje tërheqëse shkarkimi për një arkiv RAR të quajtur 'Google_AI.rar'. Veçanërisht, këto arkiva mashtruese janë të pritura në shërbime legjitime të ruajtjes së cloud si Dropbox.
Përdorimi i Google Bard si një joshje nuk është diçka e re, duke marrë parasysh popullaritetin në rritje të mjeteve të AI. Kriminelët kibernetikë kanë përfituar nga kjo prirje muajt e fundit për të mashtruar përdoruesit, veçanërisht në platforma si Facebook. Ata përdorin këtë strategji për të shpërndarë në mënyrë të fshehtë lloje të ndryshme të malware-ve që mbledhin informacion, siç është famëkeqi Doenerium .
Shpërndarja e këtyre lidhjeve të pasigurta shpesh ndodh përmes reklamave në Facebook dhe llogarive të përdoruesve të komprometuar. Kjo metodë është shfrytëzuar vazhdimisht nga aktorët e kërcënimit për disa kohë. Duke e kombinuar këtë taktikë të shpërndarjes me aftësinë e malware për të grabitur informacionin e llogarisë së Facebook-ut të viktimës, kriminelët kibernetikë krijojnë një cikël vetë-qëndrues që ushqehet me aktivitetet e tyre të dëmshme.
Zinxhiri i Infeksionit të Kërcënimit të Malware BundleBot
Pas shpaketimit të arkivit 'Google_AI.rar', përdoruesit do të gjejnë një skedar të ekzekutueshëm të quajtur 'GoogleAI.exe', i cili është një aplikacion .NET me një skedar të vetëm dhe i pavarur. Nga ana tjetër, ky aplikacion përfshin më tej një skedar DLL të quajtur 'GoogleAI.dll', përgjegjës për marrjen e një arkivi ZIP të mbrojtur me fjalëkalim nga Google Drive.
Në fazën tjetër, përmbajtja e nxjerrë nga skedari ZIP i quajtur 'ADSNEW-1.0.0.3.zip' zbulon një tjetër aplikacion .NET me një skedar të vetëm, i pavarur i njohur si 'RiotClientServices.exe.' Ky aplikacion mbart ngarkesën e dobishme të BundleBot 'RiotClientServices.dll', si dhe një serializues të të dhënave të paketave Command-and-Control (C2) të quajtur 'LirarySharing.dll'.
Pasi të aktivizohet, BundleBot Malware funksionon si një vjedhës/bot i personalizuar dhe i ri. Ai përdor bibliotekën 'LirarySharing.dll' për të përpunuar dhe serializuar të dhënat e paketave të transmetuara gjatë komunikimit të robotit me serverin C2. Për të shmangur analizën, artefaktet binare përdorin teknika mjegullimi të bëra me porosi dhe përfshijnë një sasi të konsiderueshme të kodit të padëshiruar.
Malware BundleBot ka funksione kërcënuese ndërhyrëse
Aftësitë e malware janë alarmante. Ai mund të nxjerrë fshehurazi të dhëna nga shfletuesit e uebit, të regjistrojë pamje nga ekrani, të marrë argumentet Discord, të mbledhë informacion nga Telegram dhe të mbledhë detajet e llogarisë së Facebook. Malware funksionon si një bot i sofistikuar për vjedhjen e të dhënave, duke kompromentuar informacione të ndjeshme nga burime të ndryshme pa dijeninë e përdoruesit.
Interesante, ekziston një mostër e dytë e BundleBot, pothuajse identike në të gjitha aspektet, përveç një ndryshimi kryesor. Ky variant përdor HTTPS për të nxjerrë informacionin e vjedhur në një server të largët. Të dhënat e vjedhura ekfiltohen si një arkiv ZIP, duke i lejuar sulmuesit të transferojnë në mënyrë diskrete informacionin e viktimës pa ngritur dyshime.
