БундлеБот Малваре
Претећа варијанта злонамерног софтвера под називом БундлеБот ради прикривено, избегавајући откривање користећи технике примене .НЕТ једне датотеке. Овај метод омогућава актерима претњи да кришом ухвате осетљиве информације са компромитованих хостова.
БундлеБот је познат по томе што користи самостални формат дотнет бундле (сингле-филе), што га чини изазовним за безбедносне системе да га открију. Ово доводи до веома ниске или чак нулте статичке детекције, омогућавајући малверу да остане неоткривен током дужих периода на компромитованим уређајима.
Према налазима стручњака за сајбер безбедност, дистрибуција БундлеБот-а се обично дешава преко Фацебоок огласа и компромитованих налога, што несумњиве кориснике доводи до веб локација које се маскирају као обичне програмске услужне програме, АИ алате и игре. Једном када корисници приступе овим обмањујућим веб локацијама, они несвесно покрећу преузимање и извршавање злонамерног софтвера, доводећи своје системе и осетљиве податке у опасност.
Преглед садржаја
Сајбер криминалци користе популарне АИ алате као мамце за крађу идентитета
Веб локације повезане са нападима БундлеБот Малваре-а усвојиле су тактику имитирања Гоогле Барда, истакнутог конверзацијског генеративног АИ цхатбот-а који је развила компанија. Ове варљиве веб странице маме жртве које ништа не сумњају нудећи наизглед примамљив линк за преузимање РАР архиве под називом „Гоогле_АИ.рар“. Посебно, ове лажне архиве се налазе на легитимним сервисима за складиштење у облаку као што је Дропбок.
Употреба Гоогле Барда као мамаца није нешто ново, с обзиром на све већу популарност АИ алата. Сајбер-криминалци су искористили овај тренд последњих месеци да обману кориснике, посебно на платформама попут Фејсбука. Они користе ову стратегију да прикривено дистрибуирају различите врсте малвера за прикупљање информација, као што је озлоглашени Доенериум .
Дистрибуција ових несигурних веза се често дешава преко Фацебоок огласа и компромитованих корисничких налога. Овај метод већ неко време упорно користе актери претњи. Комбинујући ову тактику дистрибуције са способношћу злонамерног софтвера да украде информације о Фацебоок налогу жртве, сајбер криминалци стварају самоодрживи циклус који доприноси њиховим штетним активностима.
Ланац заразе претње од злонамерног софтвера БундлеБот
Након распакивања 'Гоогле_АИ.рар' архиве, корисници ће пронаћи извршну датотеку под називом 'ГооглеАИ.еке', која је самостална .НЕТ апликација са једном датотеком. Заузврат, ова апликација даље укључује ДЛЛ датотеку под називом 'ГооглеАИ.длл', одговорну за преузимање ЗИП архиве заштићене лозинком са Гоогле диска.
У следећој фази, садржај екстрахован из ЗИП датотеке под називом 'АДСНЕВ-1.0.0.3.зип' открива још једну .НЕТ једну, самосталну апликацију познату као 'РиотЦлиентСервицес.еке.' Ова апликација носи БундлеБот корисни терет „РиотЦлиентСервицес.длл“, као и серијализатор пакетних података за команду и контролу (Ц2) под називом „ЛирариСхаринг.длл“.
Једном активиран, БундлеБот Малвер функционише као прилагођени и нови крадљивац/бот. Користи библиотеку 'ЛирариСхаринг.длл' за обраду и серијализацију пакетних података пренетих током комуникације бота са Ц2 сервером. Да би избегли анализу, бинарни артефакти користе прилагођене технике замагљивања и укључују значајну количину нежељеног кода.
Злонамерни софтвер БундлеБот има претеће интрузивне функције
Могућности малвера су алармантне. Може да кришом извлачи податке из веб претраживача, снима снимке екрана, преузима Дисцорд токене, прикупља информације из Телеграма и прикупља детаље Фацебоок налога. Малвер функционише као софистицирани бот за крађу података, компромитујући осетљиве информације из различитих извора без знања корисника.
Занимљиво је да постоји други узорак БундлеБот-а, скоро идентичан у свим аспектима осим једне кључне разлике. Ова варијанта користи ХТТПС за ексфилтрирање украдених информација на удаљени сервер. Украдени подаци се ексфилтрирају као ЗИП архива, омогућавајући нападачима да дискретно пренесу информације жртве без изазивања сумње.
