BundleBot se hace pasar por Google Chatbot

Una nueva variedad de software malicioso, denominada BundleBot, ha estado operando de forma encubierta, aprovechando las técnicas de implementación de un solo archivo .NET para obtener clandestinamente información confidencial de los hosts comprometidos.

Según un informe publicado por Check Point esta semana, BundleBot está aprovechando el formato autónomo del paquete dotnet (archivo único), lo que resulta en una detección mínima o nula mediante análisis estático. El malware se distribuye comúnmente a través de anuncios de Facebook y cuentas comprometidas, disfrazándose de utilidades de programas regulares, herramientas de IA o juegos.

Algunos de los sitios web fraudulentos diseñados para engañar a las víctimas simulan Google Bard, un chatbot de inteligencia artificial generativa conversacional de Google. Estos sitios atraen a las víctimas para que descarguen un archivo RAR falso llamado "Google_AI.rar", que está alojado en servicios legítimos de almacenamiento en la nube como Dropbox.

Método de operación

Una vez desempaquetado, el archivo contiene un archivo ejecutable ("GoogleAI.exe"), que es la aplicación autónoma de un solo archivo .NET. Este ejecutable incluye un archivo DLL ("GoogleAI.dll"), responsable de obtener un archivo ZIP protegido con contraseña de Google Drive.

El contenido extraído del archivo ZIP ("ADSNEW-1.0.0.3.zip") es otra aplicación independiente de archivo único .NET ("RiotClientServices.exe") que incorpora la carga útil de BundleBot ("RiotClientServices.dll") y un serializador de datos de paquetes de comando y control (C2) ("LirarySharing.dll").

La compañía de ciberseguridad israelí explicó que el ensamblaje "RiotClientServices.dll" es un nuevo ladrón/bot personalizado que utiliza la biblioteca "LirarySharing.dll" para procesar y serializar los datos de paquetes enviados al servidor C2 como parte de la comunicación del bot.

Para frustrar el análisis, los artefactos binarios emplean ofuscación y código basura hechos a medida. Poseen capacidades para extraer datos de navegadores web, capturar capturas de pantalla, obtener tokens de Discord, extraer información de Telegram y recopilar detalles de cuentas de Facebook.

Check Point también identificó una segunda muestra de BundleBot que es casi idéntica en todos los aspectos, excepto por el uso de HTTPS para filtrar información a un servidor remoto en forma de archivo ZIP.

Según Check Point, los actores de amenazas han estado usando anuncios de Facebook y cuentas comprometidas para entregar malware desde hace algún tiempo, pero combinar esto con malware que puede robar información de la cuenta de Facebook puede crear una "rutina autosuficiente".