BundleBot maskerer sig som Google Chatbot
En ny stamme af ondsindet software, kaldet BundleBot, har fungeret i det skjulte og udnyttet .NET-enkeltfil-implementeringsteknikker til hemmeligt at indhente følsomme oplysninger fra kompromitterede værter.
Ifølge en rapport offentliggjort af Check Point i denne uge, drager BundleBot fordel af det selvstændige dotnet-bundt-format (enkeltfil), hvilket resulterer i minimal eller ingen detektion ved statisk analyse. Malwaren distribueres almindeligvis gennem Facebook-annoncer og kompromitterede konti, forklædt som almindelige programværktøjer, AI-værktøjer eller spil.
Nogle af de svigagtige websteder, der er designet til at bedrage ofre, simulerer Google Bard, en samtalegenerativ kunstig intelligens-chatbot fra Google. Disse websteder lokker ofre til at downloade et falsk RAR-arkiv med navnet "Google_AI.rar", som hostes på lovlige cloud-lagringstjenester som Dropbox.
Operationsmetode
Når den er pakket ud, indeholder arkivfilen en eksekverbar fil ("GoogleAI.exe"), som er den selvstændige .NET-enkeltfil-applikation. Denne eksekverbare indeholder en DLL-fil ("GoogleAI.dll"), der er ansvarlig for at hente et kodeordsbeskyttet ZIP-arkiv fra Google Drev.
Det udpakkede indhold af ZIP-filen ("ADSNEW-1.0.0.3.zip") er en anden .NET-enkeltfil, selvstændig applikation ("RiotClientServices.exe"), der inkorporerer BundleBot-nyttelasten ("RiotClientServices.dll") og en kommando-og-kontrol (C2) pakkedataserializer ("LirarySharing.dll").
Det israelske cybersikkerhedsfirma forklarede, at "RiotClientServices.dll"-samlingen er en brugerdefineret, ny stjæler/bot, der bruger "LirarySharing.dll"-biblioteket til at behandle og serialisere pakkedata sendt til C2-serveren som en del af bot-kommunikationen.
For at forpurre analyse anvender de binære artefakter skræddersyet sløring og uønsket kode. De har evner til at udtrække data fra webbrowsere, tage skærmbilleder, få Discord-tokens, udtrække information fra Telegram og indsamle Facebook-kontooplysninger.
Check Point identificerede også en anden BundleBot-prøve, der er næsten identisk i alle aspekter, bortset fra dets brug af HTTPS til at eksfiltrere information til en fjernserver i form af et ZIP-arkiv.
Ifølge Check Point har trusselsaktører brugt Facebook-annoncer og kompromitterede konti til at levere malware i nogen tid nu, men at kombinere dette med malware, der kan stjæle Facebook-kontooplysninger, kan skabe en "selvbærende rutine".
