BundleBot Malware
Ang isang nagbabantang variant ng malware na tinatawag na BundleBot ay tumatakbo nang patago, na umiiwas sa pagtuklas sa pamamagitan ng paggamit ng .NET single-file deployment techniques. Ang pamamaraang ito ay nagbibigay-daan sa mga aktor ng pagbabanta na kumuha ng sensitibong impormasyon mula sa mga nakompromisong host nang palihim.
Kilala ang BundleBot sa pagsasamantala sa dotnet bundle (single-file) na self-contained na format, na ginagawang hamon para sa mga security system na matukoy. Nagreresulta ito sa napakababa o kahit na zero static na pag-detect, na nagbibigay-daan sa malware na manatiling hindi natukoy sa mahabang panahon sa mga nakompromisong device.
Ayon sa mga natuklasan ng mga eksperto sa cybersecurity, ang pamamahagi ng BundleBot ay karaniwang nangyayari sa pamamagitan ng Facebook Ads at mga nakompromisong account, na humahantong sa mga hindi pinaghihinalaang user sa mga website na nagpapanggap bilang mga regular na utility ng programa, mga tool sa AI, at mga laro. Kapag na-access ng mga user ang mga mapanlinlang na website na ito, hindi nila namamalayang nati-trigger nila ang pag-download at pagpapatupad ng malware, na inilalagay sa panganib ang kanilang mga system at sensitibong data.
Talaan ng mga Nilalaman
Sinasamantala ng mga Cybercriminal ang Mga Sikat na AI Tool bilang Phishing Lures
Ang mga website na konektado sa mga pag-atake ng BundleBot Malware ay nagpatibay ng taktika ng paggaya sa Google Bard, isang kilalang conversational generative AI chatbot na binuo ng kumpanya. Ang mga mapanlinlang na website na ito ay umaakit sa mga hindi pinaghihinalaang biktima sa pamamagitan ng pag-aalok ng tila nakakaakit na link sa pag-download para sa isang RAR archive na pinangalanang 'Google_AI.rar.' Kapansin-pansin, ang mga mapanlinlang na archive na ito ay naka-host sa mga lehitimong serbisyo sa cloud storage tulad ng Dropbox.
Ang paggamit ng Google Bard bilang pang-akit ay hindi bago, kung isasaalang-alang ang pagtaas ng katanyagan ng mga tool ng AI. Sinamantala ng mga cybercriminal ang trend na ito nitong mga nakaraang buwan upang linlangin ang mga user, partikular sa mga platform tulad ng Facebook. Ginagamit nila ang diskarteng ito upang palihim na ipamahagi ang iba't ibang uri ng malware sa pangongolekta ng impormasyon, gaya ng kilalang Doenerium .
Ang pamamahagi ng mga hindi ligtas na link na ito ay kadalasang nangyayari sa pamamagitan ng Facebook Ads at mga nakompromisong user account. Ang pamamaraang ito ay patuloy na pinagsasamantalahan ng mga aktor ng pagbabanta sa loob ng ilang panahon. Sa pamamagitan ng pagsasama-sama ng taktika sa pamamahagi na ito sa kakayahan ng malware na kunin ang impormasyon ng Facebook account ng biktima, ang mga cybercriminal ay lumikha ng isang self-sustaining cycle na pumapasok sa kanilang mga mapaminsalang aktibidad.
Ang Infection Chain ng BundleBot Malware Threat
Sa pag-unpack ng 'Google_AI.rar' archive, makakahanap ang mga user ng executable file na pinangalanang 'GoogleAI.exe,' na isang .NET single-file, self-contained na application. Sa turn, ang application na ito ay higit pang nagsasama ng isang DLL file na tinatawag na 'GoogleAI.dll,' na responsable para sa pagkuha ng isang ZIP archive na protektado ng password mula sa Google Drive.
Sa susunod na yugto, ang mga nilalamang nakuha mula sa ZIP file na tinatawag na 'ADSNEW-1.0.0.3.zip' ay nagpapakita ng isa pang .NET single-file, self-contained na application na kilala bilang 'RiotClientServices.exe.' Ang application na ito ay nagdadala ng BundleBot payload na 'RiotClientServices.dll,' pati na rin ang Command-and-Control (C2) packet data serializer na pinangalanang 'LirarySharing.dll.'
Kapag na-activate na, gumagana ang BundleBot Malware bilang custom at novel stealer/bot. Ginagamit nito ang library na 'LirarySharing.dll' upang iproseso at i-serialize ang packet data na ipinadala sa panahon ng komunikasyon ng bot sa C2 server. Upang maiwasan ang pagsusuri, ang mga binary artifact ay gumagamit ng custom-made obfuscation technique at may kasamang malaking halaga ng junk code.
Ang BundleBot Malware ay May Nagbabantang Mapanghimasok na Mga Paggana
Nakakaalarma ang mga kakayahan ng malware. Maaari itong palihim na kumuha ng data mula sa mga Web browser, kumuha ng mga screenshot, kumuha ng mga token ng Discord, mangalap ng impormasyon mula sa Telegram, at mag-ani ng mga detalye ng Facebook account. Gumagana ang malware bilang isang sopistikadong bot sa pagnanakaw ng data, na kinokompromiso ang sensitibong impormasyon mula sa iba't ibang mapagkukunan nang hindi nalalaman ng user.
Kapansin-pansin, mayroong pangalawang sample ng BundleBot, halos magkapareho sa lahat ng aspeto maliban sa isang pangunahing pagkakaiba. Ang variant na ito ay gumagamit ng HTTPS upang i-exfiltrate ang ninakaw na impormasyon sa isang malayuang server. Ang ninakaw na data ay na-exfiltrate bilang ZIP archive, na nagbibigay-daan sa mga umaatake na maingat na ilipat ang impormasyon ng biktima nang hindi nagtataas ng hinala.
