Το BundleBot μεταμφιέζεται ως Google Chatbot
Ένα νέο είδος κακόβουλου λογισμικού, που ονομάζεται BundleBot, λειτουργεί κρυφά, εκμεταλλευόμενο τις τεχνικές ανάπτυξης ενός αρχείου .NET για να λαμβάνει μυστικά ευαίσθητες πληροφορίες από παραβιασμένους κεντρικούς υπολογιστές.
Σύμφωνα με μια αναφορά που δημοσιεύτηκε από το Check Point αυτήν την εβδομάδα, το BundleBot εκμεταλλεύεται την αυτοδύναμη μορφή του πακέτου dotnet (ενός αρχείου), με αποτέλεσμα τον ελάχιστο ή καθόλου εντοπισμό μέσω στατικής ανάλυσης. Το κακόβουλο λογισμικό διανέμεται συνήθως μέσω των διαφημίσεων Facebook και των παραβιασμένων λογαριασμών, μεταμφιέζοντας τον εαυτό του σε κανονικά βοηθητικά προγράμματα, εργαλεία τεχνητής νοημοσύνης ή παιχνίδια.
Ορισμένοι από τους δόλιους ιστότοπους που έχουν σχεδιαστεί για να εξαπατούν τα θύματα προσομοιώνουν το Google Bard, ένα συνομιλητικό chatbot τεχνητής νοημοσύνης από την Google. Αυτοί οι ιστότοποι παρασύρουν τα θύματα να κατεβάσουν ένα ψεύτικο αρχείο RAR με το όνομα "Google_AI.rar", το οποίο φιλοξενείται σε νόμιμες υπηρεσίες αποθήκευσης cloud όπως το Dropbox.
Τρόπος Λειτουργίας
Αφού αποσυσκευαστεί, το αρχείο αρχειοθέτησης περιέχει ένα εκτελέσιμο αρχείο ("GoogleAI.exe"), το οποίο είναι η .NET μεμονωμένου αρχείου, αυτόνομη εφαρμογή. Αυτό το εκτελέσιμο περιλαμβάνει ένα αρχείο DLL ("GoogleAI.dll"), υπεύθυνο για την ανάκτηση ενός αρχείου ZIP που προστατεύεται με κωδικό πρόσβασης από το Google Drive.
Το εξαγόμενο περιεχόμενο του αρχείου ZIP ("adsnew-1.0.0.3.zip") είναι ένα άλλο .NET μονής αρχείου, αυτοτελούς εφαρμογής ("riotclientervices.exe") που ενσωματώνει το πακέτο bundlebot ("riotcliservices.dll") και ένα πακέτο Command-and-Control (C2).
Η ισραηλινή εταιρεία κυβερνοασφάλειας εξήγησε ότι η συγκρότηση "RiotClientServices.dll" είναι ένα προσαρμοσμένο, νέο πρόγραμμα κλοπής/ρομπότ, που χρησιμοποιεί τη βιβλιοθήκη "LirarySharing.dll" για την επεξεργασία και τη σειριοποίηση των δεδομένων πακέτων που αποστέλλονται στον διακομιστή C2 ως μέρος της επικοινωνίας του bot.
Για να αποτρέψουν την ανάλυση, τα δυαδικά τεχνουργήματα χρησιμοποιούν προσαρμοσμένη συσκότιση και ανεπιθύμητο κώδικα. Διαθέτουν δυνατότητες εξαγωγής δεδομένων από προγράμματα περιήγησης ιστού, λήψης στιγμιότυπων οθόνης, λήψης διακριτικών Discord, εξαγωγής πληροφοριών από το Telegram και συλλογής στοιχείων λογαριασμού Facebook.
Το Check Point εντόπισε επίσης ένα δεύτερο δείγμα BundleBot που είναι σχεδόν πανομοιότυπο από όλες τις πλευρές, εκτός από τη χρήση του HTTPS για την εξαγωγή πληροφοριών σε έναν απομακρυσμένο διακομιστή με τη μορφή αρχείου ZIP.
Σύμφωνα με το Check Point, οι φορείς απειλών χρησιμοποιούν διαφημίσεις Facebook και παραβιασμένους λογαριασμούς για να παρέχουν κακόβουλο λογισμικό εδώ και αρκετό καιρό, αλλά ο συνδυασμός αυτού με κακόβουλο λογισμικό που μπορεί να κλέψει πληροφορίες λογαριασμού Facebook μπορεί να δημιουργήσει μια «αυτοσυντηρούμενη ρουτίνα».
