BundleBot 惡意軟件
一種名為 BundleBot 的威脅性惡意軟件變種一直在秘密運行,利用 .NET 單文件部署技術來逃避檢測。這種方法允許威脅行為者從受感染的主機秘密捕獲敏感信息。
BundleBot 以利用 dotnet 捆綁包(單文件)自包含格式而聞名,這使得安全系統難以檢測到。這會導致靜態檢測率非常低甚至為零,從而使惡意軟件在受感染的設備上長時間保持未被檢測到。
根據網絡安全專家的調查結果,BundleBot 通常通過 Facebook 廣告和受損帳戶進行傳播,從而引導毫無戒心的用戶訪問偽裝成常規程序實用程序、人工智能工具和遊戲的網站。一旦用戶訪問這些欺騙性網站,他們就會在不知不覺中觸發惡意軟件的下載和執行,從而使他們的系統和敏感數據面臨風險。
目錄
網絡犯罪分子利用流行的人工智能工具作為網絡釣魚誘餌
與 BundleBot 惡意軟件攻擊相關的網站採用了模仿 Google Bard 的策略,Google Bard 是該公司開發的一款著名的對話式生成人工智能聊天機器人。這些欺騙性網站通過提供名為“Google_AI.rar”的 RAR 存檔的看似誘人的下載鏈接來引誘毫無戒心的受害者。值得注意的是,這些欺詐性檔案託管在 Dropbox 等合法雲存儲服務上。
考慮到人工智能工具的日益普及,使用 Google Bard 作為誘餌並不是什麼新鮮事。近幾個月來,網絡犯罪分子利用這一趨勢來欺騙用戶,尤其是在 Facebook 等平台上。他們採用這種策略來秘密分發各種類型的信息收集惡意軟件,例如臭名昭著的Doenerium 。
這些不安全鏈接的傳播通常是通過 Facebook 廣告和受損的用戶帳戶進行的。一段時間以來,這種方法一直被威脅行為者利用。通過將這種分發策略與惡意軟件竊取受害者 Facebook 帳戶信息的能力相結合,網絡犯罪分子創建了一個自我維持的循環,助長了他們的有害活動。
BundleBot 惡意軟件威脅的感染鏈
解壓“Google_AI.rar”存檔後,用戶將找到一個名為“GoogleAI.exe”的可執行文件,它是一個 .NET 單文件、獨立的應用程序。反過來,該應用程序還包含一個名為“GoogleAI.dll”的 DLL 文件,負責從 Google Drive 獲取受密碼保護的 ZIP 存檔。
在下一階段,從名為“ADSNEW-1.0.0.3.zip”的 ZIP 文件中提取的內容揭示了另一個名為“RiotClientServices.exe”的 .NET 單文件獨立應用程序。該應用程序攜帶 BundleBot 有效負載“RiotClientServices.dll”以及名為“LirarySharing.dll”的命令與控制 (C2) 數據包數據序列化程序。
一旦激活,BundleBot 惡意軟件將充當自定義且新穎的竊取者/機器人。它利用“LirarySharing.dll”庫來處理和序列化機器人與 C2 服務器通信期間傳輸的數據包數據。為了逃避分析,二進制工件利用定制的混淆技術並包含大量垃圾代碼。
BundleBot 惡意軟件具有威脅性的侵入功能
該惡意軟件的能力令人震驚。它可以秘密地從網絡瀏覽器中提取數據、捕獲屏幕截圖、獲取 Discord 代幣、從 Telegram 收集信息以及獲取 Facebook 帳戶詳細信息。該惡意軟件作為複雜的數據竊取機器人運行,在用戶不知情的情況下泄露來自各種來源的敏感信息。
有趣的是,BundleBot 還有第二個樣本,除了一個關鍵差異外,在所有方面幾乎相同。該變體利用 HTTPS 將竊取的信息洩露到遠程服務器。被盜數據以 ZIP 存檔形式洩露,允許攻擊者在不引起懷疑的情況下謹慎傳輸受害者的信息。
