BundleBot 恶意软件
一种名为 BundleBot 的威胁性恶意软件变种一直在秘密运行,利用 .NET 单文件部署技术来逃避检测。这种方法允许威胁行为者从受感染的主机秘密捕获敏感信息。
BundleBot 以利用 dotnet 捆绑包(单文件)自包含格式而闻名,这使得安全系统难以检测到。这会导致静态检测率非常低甚至为零,从而使恶意软件在受感染的设备上长时间保持未被检测到。
根据网络安全专家的调查结果,BundleBot 通常通过 Facebook 广告和受损帐户进行传播,从而引导毫无戒心的用户访问伪装成常规程序实用程序、人工智能工具和游戏的网站。一旦用户访问这些欺骗性网站,他们就会在不知不觉中触发恶意软件的下载和执行,从而使他们的系统和敏感数据面临风险。
目录
网络犯罪分子利用流行的人工智能工具作为网络钓鱼诱饵
与 BundleBot 恶意软件攻击相关的网站采用了模仿 Google Bard 的策略,Google Bard 是该公司开发的一款著名的对话式生成人工智能聊天机器人。这些欺骗性网站通过提供名为“Google_AI.rar”的 RAR 存档的看似诱人的下载链接来引诱毫无戒心的受害者。值得注意的是,这些欺诈性档案托管在 Dropbox 等合法云存储服务上。
考虑到人工智能工具的日益普及,使用 Google Bard 作为诱饵并不是什么新鲜事。近几个月来,网络犯罪分子利用这一趋势来欺骗用户,尤其是在 Facebook 等平台上。他们采用这种策略来秘密分发各种类型的信息收集恶意软件,例如臭名昭著的Doenerium 。
这些不安全链接的传播通常是通过 Facebook 广告和受损的用户帐户进行的。一段时间以来,这种方法一直被威胁行为者利用。通过将这种分发策略与恶意软件窃取受害者 Facebook 帐户信息的能力相结合,网络犯罪分子创建了一个自我维持的循环,助长了他们的有害活动。
BundleBot 恶意软件威胁的感染链
解压“Google_AI.rar”存档后,用户将找到一个名为“GoogleAI.exe”的可执行文件,它是一个 .NET 单文件、独立的应用程序。反过来,该应用程序还包含一个名为“GoogleAI.dll”的 DLL 文件,负责从 Google Drive 获取受密码保护的 ZIP 存档。
在下一阶段,从名为“ADSNEW-1.0.0.3.zip”的 ZIP 文件中提取的内容揭示了另一个名为“RiotClientServices.exe”的 .NET 单文件独立应用程序。该应用程序携带 BundleBot 有效负载“RiotClientServices.dll”以及名为“LirarySharing.dll”的命令与控制 (C2) 数据包数据序列化程序。
一旦激活,BundleBot 恶意软件将充当自定义且新颖的窃取者/机器人。它利用“LirarySharing.dll”库来处理和序列化僵尸程序与 C2 服务器通信期间传输的数据包数据。为了逃避分析,二进制工件利用定制的混淆技术并包含大量垃圾代码。
BundleBot 恶意软件具有威胁性的侵入功能
该恶意软件的能力令人震惊。它可以秘密地从网络浏览器中提取数据、捕获屏幕截图、获取 Discord 代币、从 Telegram 收集信息以及获取 Facebook 帐户详细信息。该恶意软件作为复杂的数据窃取机器人运行,在用户不知情的情况下泄露来自各种来源的敏感信息。
有趣的是,BundleBot 还有第二个样本,除了一个关键差异外,在所有方面几乎相同。该变体利用 HTTPS 将窃取的信息泄露到远程服务器。被盗数据以 ZIP 存档形式泄露,允许攻击者在不引起怀疑的情况下谨慎传输受害者的信息。
