Зловмисне програмне забезпечення BundleBot
Загрозливий варіант зловмисного програмного забезпечення під назвою BundleBot працює таємно, уникаючи виявлення за допомогою методів однофайлового розгортання .NET. Цей метод дозволяє зловмисникам непомітно отримувати конфіденційну інформацію зі зламаних хостів.
BundleBot відомий тим, що використовує самодостатній формат пакету dotnet (один файл), що ускладнює його виявлення системам безпеки. Це призводить до дуже низького або навіть нульового виявлення статики, що дозволяє зловмисному програмному забезпеченню залишатися непоміченим протягом тривалого часу на скомпрометованих пристроях.
Згідно з висновками експертів з кібербезпеки, розповсюдження BundleBot зазвичай відбувається через рекламу у Facebook і зламані облікові записи, спрямовуючи нічого не підозрюючих користувачів на веб-сайти, які маскуються під звичайні програмні утиліти, інструменти ШІ та ігри. Коли користувачі заходять на ці оманливі веб-сайти, вони несвідомо запускають завантаження та виконання зловмисного програмного забезпечення, піддаючи ризику свої системи та конфіденційні дані.
Зміст
Кіберзлочинці використовують популярні інструменти штучного інтелекту як приманки для фішингу
Веб-сайти, пов’язані з атаками зловмисного програмного забезпечення BundleBot, застосували тактику імітації Google Bard, відомого розмовного чат-бота штучного інтелекту, розробленого компанією. Ці оманливі веб-сайти заманюють нічого не підозрюючих жертв, пропонуючи, здавалося б, привабливе посилання для завантаження архіву RAR під назвою «Google_AI.rar». Примітно, що ці шахрайські архіви розміщуються в законних хмарних службах зберігання, таких як Dropbox.
Використання Google Bard як приманки не є чимось новим, враховуючи зростання популярності інструментів ШІ. Кіберзлочинці скористалися цією тенденцією в останні місяці, щоб обдурити користувачів, особливо на таких платформах, як Facebook. Вони використовують цю стратегію для непомітного розповсюдження різних типів шкідливого програмного забезпечення для збору інформації, наприклад сумнозвісного Doenerium .
Розповсюдження цих небезпечних посилань часто відбувається через рекламу Facebook і зламані облікові записи користувачів. Цей метод протягом певного часу наполегливо використовувався загрозливими суб’єктами. Поєднуючи цю тактику розповсюдження зі здатністю зловмисного програмного забезпечення викрадати інформацію облікового запису жертви у Facebook, кіберзлочинці створюють самопідтримуваний цикл, який живиться в їхній шкідливій діяльності.
Ланцюжок зараження загрозою зловмисного програмного забезпечення BundleBot
Після розпакування архіву «Google_AI.rar» користувачі знайдуть виконуваний файл під назвою «GoogleAI.exe», який є однофайловою самодостатньою програмою .NET. У свою чергу, ця програма додатково містить файл DLL під назвою "GoogleAI.dll", який відповідає за отримання захищеного паролем ZIP-архіву з Google Drive.
На наступному етапі вміст, витягнутий із ZIP-файлу під назвою «ADSNEW-1.0.0.3.zip», розкриває іншу однофайлову самодостатню програму .NET, відому як «RiotClientServices.exe». Ця програма містить корисне навантаження BundleBot «RiotClientServices.dll», а також серіалізатор пакетних даних Command-and-Control (C2) під назвою «LirarySharing.dll».
Після активації зловмисне програмне забезпечення BundleBot функціонує як спеціальний та новий крадій/бот. Він використовує бібліотеку LirarySharing.dll для обробки та серіалізації пакетних даних, переданих під час зв’язку бота з сервером C2. Щоб уникнути аналізу, бінарні артефакти використовують спеціальні методи обфускації та містять значну кількість небажаного коду.
Зловмисне програмне забезпечення BundleBot має загрозливі нав’язливі функції
Можливості шкідливого програмного забезпечення викликають тривогу. Він може непомітно витягувати дані з веб-браузерів, знімати скріншоти, отримувати маркери Discord, збирати інформацію з Telegram і збирати дані облікового запису Facebook. Зловмисне програмне забезпечення працює як складний бот для крадіжки даних, компрометуючи конфіденційну інформацію з різних джерел без відома користувача.
Цікаво, що існує другий зразок BundleBot, майже ідентичний у всіх аспектах, за винятком однієї ключової відмінності. Цей варіант використовує HTTPS для передачі викраденої інформації на віддалений сервер. Викрадені дані вилучаються як ZIP-архів, що дозволяє зловмисникам непомітно передавати інформацію жертви, не викликаючи підозр.
