BundleBot tarnt sich als Google Chatbot
Eine neue Art bösartiger Software namens BundleBot operiert im Verborgenen und nutzt .NET-Einzeldatei-Bereitstellungstechniken aus, um heimlich vertrauliche Informationen von kompromittierten Hosts abzurufen.
Laut einem diese Woche von Check Point veröffentlichten Bericht nutzt BundleBot das eigenständige Dotnet-Bundle-Format (Einzeldatei), was zu einer minimalen oder keiner Erkennung durch statische Analyse führt. Die Malware wird häufig über Facebook-Werbung und kompromittierte Konten verbreitet und tarnt sich als normale Programm-Dienstprogramme, KI-Tools oder Spiele.
Einige der betrügerischen Websites, die darauf ausgelegt sind, Opfer zu täuschen, simulieren Google Bard, einen generativen Chatbot mit künstlicher Intelligenz von Google. Diese Websites locken Opfer dazu, ein gefälschtes RAR-Archiv namens „Google_AI.rar“ herunterzuladen, das auf legitimen Cloud-Speicherdiensten wie Dropbox gehostet wird.
Funktionsweise
Nach dem Entpacken enthält die Archivdatei eine ausführbare Datei („GoogleAI.exe“), bei der es sich um die eigenständige .NET-Einzeldateianwendung handelt. Diese ausführbare Datei enthält eine DLL-Datei („GoogleAI.dll“), die für das Abrufen eines passwortgeschützten ZIP-Archivs von Google Drive zuständig ist.
Der extrahierte Inhalt der ZIP-Datei („ADSNEW-1.0.0.3.zip“) ist eine weitere eigenständige .NET-Einzeldateianwendung („RiotClientServices.exe“), die die BundleBot-Nutzlast („RiotClientServices.dll“) und einen Command-and-Control (C2)-Paketdaten-Serialisierer („LirarySharing.dll“) enthält.
Das israelische Cybersicherheitsunternehmen erklärte, dass es sich bei der „RiotClientServices.dll“-Assembly um einen benutzerdefinierten, neuen Stealer/Bot handelt, der die „LirarySharing.dll“-Bibliothek verwendet, um Paketdaten zu verarbeiten und zu serialisieren, die im Rahmen der Bot-Kommunikation an den C2-Server gesendet werden.
Um die Analyse zu vereiteln, verwenden die binären Artefakte maßgeschneiderten Verschleierungs- und Junk-Code. Sie verfügen über Funktionen zum Extrahieren von Daten aus Webbrowsern, zum Aufnehmen von Screenshots, zum Erhalten von Discord-Tokens, zum Extrahieren von Informationen aus Telegram und zum Sammeln von Facebook-Kontodaten.
Check Point hat außerdem ein zweites BundleBot-Beispiel identifiziert, das in allen Aspekten nahezu identisch ist, mit Ausnahme der Verwendung von HTTPS, um Informationen in Form eines ZIP-Archivs an einen Remote-Server zu exfiltrieren.
Laut Check Point verwenden Bedrohungsakteure schon seit einiger Zeit Facebook-Werbung und kompromittierte Konten, um Malware zu verbreiten, aber die Kombination mit Malware, die Facebook-Kontoinformationen stehlen kann, kann zu einer „selbsttragenden Routine“ führen.
