BundleBot Kötü Amaçlı Yazılım

BundleBot adlı tehditkar bir kötü amaçlı yazılım çeşidi, .NET tek dosya dağıtım tekniklerinden yararlanarak tespit edilmekten kaçınarak gizlice çalışıyor. Bu yöntem, tehdit aktörlerinin güvenliği ihlal edilmiş ana bilgisayarlardan hassas bilgileri gizlice yakalamasına olanak tanır.

BundleBot, güvenlik sistemlerinin algılamasını zorlaştıran dotnet paketi (tek dosya) bağımsız biçiminden yararlanmasıyla bilinir. Bu, çok düşük veya hatta sıfır statik algılama ile sonuçlanır ve kötü amaçlı yazılımın güvenliği ihlal edilmiş cihazlarda uzun süre tespit edilmeden kalmasına izin verir.

Siber güvenlik uzmanlarının bulgularına göre, BundleBot'un dağıtımı genellikle Facebook Reklamları ve güvenliği ihlal edilmiş hesaplar aracılığıyla gerçekleşiyor ve bundan şüphelenmeyen kullanıcıları normal program yardımcı programları, yapay zeka araçları ve oyunlar kılığına giren web sitelerine yönlendiriyor. Kullanıcılar bu aldatıcı web sitelerine eriştiklerinde, farkında olmadan kötü amaçlı yazılımın indirilmesini ve çalıştırılmasını tetikleyerek sistemlerini ve hassas verilerini riske atıyorlar.

Siber Suçlular Popüler Yapay Zeka Araçlarından Kimlik Avı Tuzakları Olarak Yararlanıyor

BundleBot Kötü Amaçlı Yazılım saldırılarına bağlı web siteleri, şirket tarafından geliştirilen önde gelen bir konuşma üretken AI sohbet robotu olan Google Bard'ı taklit etme taktiğini benimsedi. Bu aldatıcı web siteleri, 'Google_AI.rar' adlı bir RAR arşivi için çekici görünen bir indirme bağlantısı sunarak masum kurbanları cezbeder. Özellikle, bu sahte arşivler, Dropbox gibi meşru bulut depolama hizmetlerinde barındırılmaktadır.

AI araçlarının artan popülaritesi göz önüne alındığında, Google Bard'ın yem olarak kullanılması yeni bir şey değil. Siber suçlular, özellikle Facebook gibi platformlarda kullanıcıları aldatmak için son aylarda bu trendden yararlandı. Kötü şöhretli Doenerium gibi çeşitli türde bilgi toplayan kötü amaçlı yazılımları gizlice dağıtmak için bu stratejiyi kullanıyorlar.

Bu güvenli olmayan bağlantıların dağıtımı genellikle Facebook Reklamları ve güvenliği ihlal edilmiş kullanıcı hesapları aracılığıyla gerçekleşir. Bu yöntem bir süredir tehdit aktörleri tarafından ısrarla kullanılmaktadır. Siber suçlular, bu dağıtım taktiğini, kötü amaçlı yazılımın bir kurbanın Facebook hesap bilgilerini çalma yeteneğiyle birleştirerek, zararlı etkinliklerini besleyen kendi kendini idame ettiren bir döngü oluşturur.

BundleBot Kötü Amaçlı Yazılım Tehditinin Bulaşma Zinciri

'Google_AI.rar' arşivinin paketini açtıktan sonra, kullanıcılar 'GoogleAI.exe' adlı, .NET tek dosyalı, kendi kendine yeten bir uygulama olan yürütülebilir bir dosya bulacaklardır. Buna karşılık, bu uygulama ayrıca, Google Drive'dan parola korumalı bir ZIP arşivi getirmekten sorumlu olan 'GoogleAI.dll' adlı bir DLL dosyası içerir.

Bir sonraki aşamada, 'ADSNEW-1.0.0.3.zip' adlı ZIP dosyasından çıkarılan içerikler, 'RiotClientServices.exe' olarak bilinen başka bir .NET tek dosyalı, kendi kendine yeten uygulamayı ortaya çıkarır. Bu uygulama, 'RiotClientServices.dll' BundleBot yükünü ve 'LirarySharing.dll' adlı bir Komuta-ve-Kontrol (C2) paket veri serileştiricisini taşır.

BundleBot Kötü Amaçlı Yazılımı etkinleştirildiğinde, özel ve yeni bir hırsız/bot işlevi görür. Botun C2 sunucusuyla iletişimi sırasında iletilen paket verilerini işlemek ve seri hale getirmek için 'LirarySharing.dll' kitaplığını kullanır. Analizden kaçınmak için ikili eserler, özel yapım şaşırtma teknikleri kullanır ve önemli miktarda önemsiz kod içerir.

BundleBot Kötü Amaçlı Yazılımı Tehdit Edici Müdahaleci İşlevselliklere Sahiptir

Kötü amaçlı yazılımın yetenekleri endişe verici. Web tarayıcılarından gizlice veri çıkarabilir, ekran görüntüleri yakalayabilir, Discord jetonları alabilir, Telegram'dan bilgi toplayabilir ve Facebook hesap ayrıntılarını toplayabilir. Kötü amaçlı yazılım, kullanıcının bilgisi olmadan çeşitli kaynaklardan hassas bilgileri tehlikeye atan, gelişmiş bir veri çalan bot olarak çalışır.

İlginç bir şekilde, bir temel fark dışında tüm yönleriyle neredeyse aynı olan ikinci bir BundleBot örneği var. Bu değişken, çalınan bilgileri uzak bir sunucuya sızdırmak için HTTPS'den yararlanır. Çalınan veriler bir ZIP arşivi olarak dışarı sızar ve saldırganların şüphe uyandırmadan kurbanın bilgilerini gizlice aktarmalarına olanak tanır.