BundleBot Malware

Med Mezo år Malware, Stealers

Översätt till:

En hotande variant av skadlig programvara som heter BundleBot har fungerat i hemlighet och undvikit upptäckt genom att utnyttja .NET-tekniker för enkelfilsdistribution. Denna metod tillåter hotaktörer att smygfånga känslig information från komprometterade värdar.

BundleBot är känt för att utnyttja dotnet-paketet (enkelfil) fristående format, vilket gör det utmanande för säkerhetssystem att upptäcka. Detta resulterar i mycket låg eller till och med noll statisk upptäckt, vilket gör att skadlig programvara kan förbli oupptäckt under långa perioder på de komprometterade enheterna.

Enligt cybersäkerhetsexperter sker distributionen av BundleBot vanligtvis via Facebook-annonser och komprometterade konton, vilket leder intet ont anande användare till webbplatser som maskerar sig som vanliga programverktyg, AI-verktyg och spel. När användare väl går in på dessa vilseledande webbplatser utlöser de omedvetet nedladdning och körning av skadlig programvara, vilket utsätter deras system och känsliga data för risker.

Innehållsförteckning

Cyberkriminella drar fördel av populära AI-verktyg som nätfiske

Webbplatserna som är kopplade till BundleBot Malware-attacker har antagit taktiken att imitera Google Bard, en framstående konversationsgenerativ AI-chatbot utvecklad av företaget. Dessa vilseledande webbplatser lockar intet ont anande offer genom att erbjuda en till synes lockande nedladdningslänk för ett RAR-arkiv med namnet 'Google_AI.rar'. Noterbart är att dessa bedrägliga arkiv finns på legitima molnlagringstjänster som Dropbox.

Användningen av Google Bard som ett lockbete är inte något nytt, med tanke på den ökande populariteten för AI-verktyg. Cyberkriminella har utnyttjat denna trend de senaste månaderna för att lura användare, särskilt på plattformar som Facebook. De använder den här strategin för att smygande distribuera olika typer av informationsinsamlande skadlig programvara, såsom det ökända Doenerium .

Distributionen av dessa osäkra länkar sker ofta via Facebook-annonser och inträngda användarkonton. Denna metod har ständigt utnyttjats av hotaktörer under en tid. Genom att kombinera denna distributionstaktik med skadlig programvaras förmåga att stjäla ett offers Facebook-kontoinformation, skapar cyberbrottslingar en självförsörjande cykel som matas in i deras skadliga aktiviteter.

Infektionskedjan för BundleBot Malware-hotet

När du packar upp arkivet 'Google_AI.rar' kommer användarna att hitta en körbar fil med namnet 'GoogleAI.exe', som är en .NET-enkelfil, fristående applikation. I sin tur innehåller denna applikation ytterligare en DLL-fil som heter 'GoogleAI.dll', som ansvarar för att hämta ett lösenordsskyddat ZIP-arkiv från Google Drive.

I nästa steg avslöjar innehållet som extraherats från ZIP-filen som heter 'ADSNEW-1.0.0.3.zip' en annan .NET-enfil, fristående applikation som kallas 'RiotClientServices.exe.' Den här applikationen bär BundleBot-nyttolasten 'RiotClientServices.dll' samt en Command-and-Control (C2) paketdataserializer med namnet 'LirarySharing.dll.'

När den väl har aktiverats fungerar BundleBot Malware som en anpassad och ny stjälare/bot. Den använder biblioteket 'LirarySharing.dll' för att bearbeta och serialisera paketdata som överförs under botens kommunikation med C2-servern. För att undvika analys använder de binära artefakterna skräddarsydda obfuskeringstekniker och inkluderar en betydande mängd skräpkod.