Gói Phần mềm độc hại Bot

Một biến thể phần mềm độc hại đe dọa có tên là BundleBot đã hoạt động bí mật, tránh bị phát hiện bằng cách tận dụng các kỹ thuật triển khai tệp đơn .NET. Phương pháp này cho phép các tác nhân đe dọa nắm bắt thông tin nhạy cảm từ các máy chủ bị xâm nhập một cách lén lút.

BundleBot được biết đến với việc khai thác định dạng khép kín gói dotnet (tệp đơn), khiến các hệ thống bảo mật khó phát hiện ra. Điều này dẫn đến khả năng phát hiện tĩnh rất thấp hoặc thậm chí bằng không, cho phép phần mềm độc hại không bị phát hiện trong thời gian dài trên các thiết bị bị xâm nhập.

Theo phát hiện của các chuyên gia an ninh mạng, việc phân phối BundleBot thường xảy ra thông qua Quảng cáo trên Facebook và các tài khoản bị xâm nhập, dẫn người dùng không nghi ngờ đến các trang web giả dạng các tiện ích chương trình, công cụ AI và trò chơi thông thường. Khi người dùng truy cập vào các trang web lừa đảo này, họ vô tình kích hoạt việc tải xuống và thực thi phần mềm độc hại, khiến hệ thống và dữ liệu nhạy cảm của họ gặp rủi ro.

Tội phạm mạng tận dụng các công cụ AI phổ biến làm mồi nhử lừa đảo

Các trang web được kết nối với các cuộc tấn công Phần mềm độc hại BundleBot đã áp dụng chiến thuật bắt chước Google Bard, một chatbot AI tổng hợp đàm thoại nổi bật do công ty phát triển. Các trang web lừa đảo này thu hút những nạn nhân nhẹ dạ bằng cách cung cấp liên kết tải xuống có vẻ hấp dẫn cho tệp lưu trữ RAR có tên 'Google_AI.rar.' Đáng chú ý, các kho lưu trữ gian lận này được lưu trữ trên các dịch vụ lưu trữ đám mây hợp pháp như Dropbox.

Việc sử dụng Google Bard làm mồi nhử không phải là điều gì mới mẻ, xét đến sự phổ biến ngày càng tăng của các công cụ AI. Tội phạm mạng đã lợi dụng xu hướng này trong những tháng gần đây để đánh lừa người dùng, đặc biệt là trên các nền tảng như Facebook. Chúng sử dụng chiến lược này để lén lút phát tán nhiều loại phần mềm độc hại thu thập thông tin khác nhau, chẳng hạn như Doenerium khét tiếng.

Việc phân phối các liên kết không an toàn này thường xảy ra thông qua Quảng cáo trên Facebook và tài khoản người dùng bị xâm nhập. Phương pháp này đã được các tác nhân đe dọa khai thác liên tục trong một thời gian. Bằng cách kết hợp chiến thuật phân phối này với khả năng phần mềm độc hại ăn cắp thông tin tài khoản Facebook của nạn nhân, tội phạm mạng tạo ra một chu kỳ tự duy trì cung cấp cho các hoạt động gây hại của chúng.

Chuỗi lây nhiễm của mối đe dọa phần mềm độc hại BundleBot

Khi giải nén kho lưu trữ 'Google_AI.rar', người dùng sẽ tìm thấy một tệp thực thi có tên 'GoogleAI.exe', đây là một ứng dụng độc lập, một tệp .NET. Đổi lại, ứng dụng này kết hợp thêm một tệp DLL có tên 'GoogleAI.dll', chịu trách nhiệm tìm nạp tệp lưu trữ ZIP được bảo vệ bằng mật khẩu từ Google Drive.

Trong giai đoạn tiếp theo, nội dung được trích xuất từ tệp ZIP có tên 'ADSNEW-1.0.0.3.zip' sẽ tiết lộ một ứng dụng độc lập, tệp đơn .NET khác có tên là 'RiotClientServices.exe.' Ứng dụng này mang tải trọng BundleBot 'RiotClientServices.dll,' cũng như bộ nối tiếp dữ liệu gói Command-and-Control (C2) có tên 'LirarySharing.dll.'

Sau khi được kích hoạt, Phần mềm độc hại BundleBot hoạt động như một kẻ đánh cắp/bot tùy chỉnh và mới lạ. Nó sử dụng thư viện 'LirarySharing.dll' để xử lý và tuần tự hóa gói dữ liệu được truyền trong quá trình giao tiếp của bot với máy chủ C2. Để trốn tránh phân tích, các tạo phẩm nhị phân sử dụng các kỹ thuật che giấu tùy chỉnh và bao gồm một lượng đáng kể mã rác.

Phần mềm độc hại BundleBot có chức năng xâm nhập đe dọa

Các khả năng của phần mềm độc hại là đáng báo động. Nó có thể lén lút trích xuất dữ liệu từ trình duyệt Web, chụp ảnh màn hình, lấy mã thông báo Discord, thu thập thông tin từ Telegram và thu thập thông tin tài khoản Facebook. Phần mềm độc hại này hoạt động như một bot ăn cắp dữ liệu tinh vi, xâm phạm thông tin nhạy cảm từ nhiều nguồn khác nhau mà người dùng không hề hay biết.

Thật thú vị, có một mẫu BundleBot thứ hai, gần như giống hệt nhau về mọi mặt ngoại trừ một điểm khác biệt chính. Biến thể này tận dụng HTTPS để lọc thông tin bị đánh cắp tới một máy chủ từ xa. Dữ liệu bị đánh cắp được trích xuất dưới dạng kho lưu trữ ZIP, cho phép kẻ tấn công chuyển thông tin của nạn nhân một cách kín đáo mà không gây nghi ngờ.