BundleBot มัลแวร์

มัลแวร์สายพันธุ์คุกคามที่เรียกว่า BundleBot ปฏิบัติการอย่างลับๆ หลบเลี่ยงการตรวจจับโดยใช้เทคนิคการปรับใช้ไฟล์เดียวของ .NET วิธีนี้ช่วยให้ผู้คุกคามสามารถดักจับข้อมูลที่ละเอียดอ่อนจากโฮสต์ที่ถูกบุกรุกอย่างลับๆ

BundleBot เป็นที่รู้จักกันดีในการใช้ประโยชน์จากรูปแบบที่มีในตัวเองของ dotnet Bundle (ไฟล์เดี่ยว) ซึ่งทำให้ระบบรักษาความปลอดภัยตรวจจับได้ยาก ส่งผลให้การตรวจจับคงที่ต่ำมากหรือแม้แต่ศูนย์ ทำให้มัลแวร์ยังคงไม่ถูกตรวจจับเป็นเวลานานบนอุปกรณ์ที่ถูกบุกรุก

จากการค้นพบของผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์ การแจกจ่าย BundleBot มักเกิดขึ้นผ่านโฆษณาบน Facebook และบัญชีที่ถูกบุกรุก ซึ่งนำผู้ใช้ที่ไม่สงสัยไปยังเว็บไซต์ที่ปลอมแปลงเป็นโปรแกรมอรรถประโยชน์ทั่วไป เครื่องมือ AI และเกม เมื่อผู้ใช้เข้าถึงเว็บไซต์ที่หลอกลวงเหล่านี้ ผู้ใช้จะกระตุ้นการดาวน์โหลดและการดำเนินการของมัลแวร์โดยไม่รู้ตัว ทำให้ระบบและข้อมูลที่สำคัญตกอยู่ในความเสี่ยง

อาชญากรไซเบอร์ใช้ประโยชน์จากเครื่องมือ AI ยอดนิยมเป็นเหยื่อฟิชชิง

เว็บไซต์ที่เชื่อมต่อกับการโจมตีด้วยมัลแวร์ BundleBot ได้นำกลวิธีเลียนแบบ Google Bard ซึ่งเป็นแชทบ็อต AI ที่สร้างการสนทนาที่โดดเด่นซึ่งพัฒนาโดยบริษัท เว็บไซต์ที่หลอกลวงเหล่านี้หลอกล่อเหยื่อที่ไม่สงสัยด้วยการเสนอลิงก์ดาวน์โหลดที่ดูเหมือนล่อลวงสำหรับไฟล์เก็บถาวร RAR ชื่อ 'Google_AI.rar' โดยเฉพาะอย่างยิ่ง ไฟล์เก็บถาวรหลอกลวงเหล่านี้โฮสต์บนบริการพื้นที่เก็บข้อมูลบนคลาวด์ที่ถูกต้อง เช่น Dropbox

การใช้ Google Bard เป็นตัวล่อไม่ใช่เรื่องใหม่ เมื่อพิจารณาถึงความนิยมที่เพิ่มขึ้นของเครื่องมือ AI อาชญากรไซเบอร์ใช้ประโยชน์จากแนวโน้มนี้ในช่วงหลายเดือนที่ผ่านมาเพื่อหลอกลวงผู้ใช้ โดยเฉพาะบนแพลตฟอร์มเช่น Facebook พวกเขาใช้กลยุทธ์นี้เพื่อเผยแพร่มัลแวร์รวบรวมข้อมูลประเภทต่างๆ อย่างลับๆ เช่น Doenerium ที่มีชื่อเสียงโด่งดัง

การกระจายลิงก์ที่ไม่ปลอดภัยเหล่านี้มักเกิดขึ้นผ่านโฆษณาบน Facebook และบัญชีผู้ใช้ที่ถูกบุกรุก วิธีการนี้ถูกใช้อย่างต่อเนื่องโดยผู้คุกคามมาระยะหนึ่งแล้ว ด้วยการรวมกลยุทธ์การกระจายนี้เข้ากับความสามารถของมัลแวร์ในการขโมยข้อมูลบัญชี Facebook ของเหยื่อ อาชญากรไซเบอร์จะสร้างวงจรที่ยั่งยืนในตนเองซึ่งจะป้อนเข้าสู่กิจกรรมที่เป็นอันตรายของพวกเขา

ห่วงโซ่การติดเชื้อของภัยคุกคามมัลแวร์ BundleBot

เมื่อเปิดไฟล์เก็บถาวร 'Google_AI.rar' ผู้ใช้จะพบไฟล์เรียกทำงานชื่อ 'GoogleAI.exe' ซึ่งเป็นไฟล์เดี่ยว .NET แอปพลิเคชันที่มีในตัวเอง ในทางกลับกัน แอปพลิเคชันนี้ยังรวมไฟล์ DLL ที่เรียกว่า 'GoogleAI.dll' ซึ่งทำหน้าที่ดึงข้อมูลไฟล์ ZIP ที่มีการป้องกันด้วยรหัสผ่านจาก Google ไดรฟ์

ในขั้นตอนต่อไป เนื้อหาที่ดึงมาจากไฟล์ ZIP ที่ชื่อ 'ADSNEW-1.0.0.3.zip' จะแสดงแอปพลิเคชัน .NET แบบไฟล์เดียวที่มีเนื้อหาในตัวเองอีกชื่อว่า 'RiotClientServices.exe' แอปพลิเคชันนี้มีเพย์โหลด BundleBot 'RiotClientServices.dll' รวมถึงตัวซีเรียลไลเซอร์ข้อมูลแพ็กเก็ต Command-and-Control (C2) ที่ชื่อว่า 'LirarySharing.dll'

เมื่อเปิดใช้งานแล้ว มัลแวร์ BundleBot จะทำหน้าที่เป็นตัวขโมย/บอทแบบกำหนดเองและแปลกใหม่ มันใช้ไลบรารี่ 'LirarySharing.dll' เพื่อประมวลผลและจัดอนุกรมข้อมูลแพ็กเก็ตที่ส่งระหว่างการสื่อสารของบอทกับเซิร์ฟเวอร์ C2 เพื่อหลบเลี่ยงการวิเคราะห์ ไบนารีอาร์ติแฟกต์ใช้เทคนิคการทำให้งงงวยที่สร้างขึ้นเองและรวมรหัสขยะจำนวนมาก

มัลแวร์ BundleBot มีฟังก์ชันที่ล่วงล้ำคุกคาม

ความสามารถของมัลแวร์นั้นน่าตกใจ มันสามารถดึงข้อมูลจากเว็บเบราว์เซอร์อย่างลับๆ จับภาพหน้าจอ รับโทเค็น Discord รวบรวมข้อมูลจาก Telegram และเก็บเกี่ยวรายละเอียดบัญชี Facebook มัลแวร์ทำงานเป็นบอทขโมยข้อมูลที่ซับซ้อน ประนีประนอมข้อมูลที่ละเอียดอ่อนจากแหล่งต่างๆ โดยที่ผู้ใช้ไม่ทราบ

ที่น่าสนใจคือ มี BundleBot ตัวอย่างที่สองซึ่งเหมือนกันเกือบทุกด้าน ยกเว้นข้อแตกต่างหลักประการเดียว ตัวแปรนี้ใช้ HTTPS เพื่อกรองข้อมูลที่ถูกขโมยไปยังเซิร์ฟเวอร์ระยะไกล ข้อมูลที่ถูกขโมยจะถูกแยกออกเป็นไฟล์ ZIP ทำให้ผู้โจมตีสามารถถ่ายโอนข้อมูลของเหยื่ออย่างรอบคอบโดยไม่ก่อให้เกิดความสงสัย