BundleBot se déguise en Google Chatbot

Une nouvelle souche de logiciels malveillants, nommée BundleBot, opère secrètement, exploitant les techniques de déploiement de fichiers uniques .NET pour obtenir clandestinement des informations sensibles à partir d'hôtes compromis.

Selon un rapport publié par Check Point cette semaine, BundleBot tire parti du format autonome du bundle dotnet (fichier unique), ce qui entraîne une détection minimale ou nulle par analyse statique. Le malware est généralement distribué via des publicités Facebook et des comptes compromis, se déguisant en utilitaires de programme réguliers, en outils d'IA ou en jeux.

Certains des sites Web frauduleux conçus pour tromper les victimes simulent Google Bard, un chatbot conversationnel d'intelligence artificielle générative de Google. Ces sites incitent les victimes à télécharger une fausse archive RAR nommée "Google_AI.rar", qui est hébergée sur des services de stockage en nuage légitimes comme Dropbox.

Mode opératoire

Une fois décompressé, le fichier d'archive contient un fichier exécutable ("GoogleAI.exe"), qui est l'application autonome à fichier unique .NET. Cet exécutable comprend un fichier DLL ("GoogleAI.dll"), chargé de récupérer une archive ZIP protégée par mot de passe depuis Google Drive.

Le contenu extrait du fichier ZIP ("ADSNEW-1.0.0.3.zip") est une autre application autonome à fichier unique .NET ("RiotClientServices.exe") incorporant la charge utile BundleBot ("RiotClientServices.dll") et un sérialiseur de données de paquets de commande et de contrôle (C2) ("LirarySharing.dll").

La société israélienne de cybersécurité a expliqué que l'assemblage "RiotClientServices.dll" est un nouveau voleur/bot personnalisé, utilisant la bibliothèque "LirarySharing.dll" pour traiter et sérialiser les données de paquets envoyées au serveur C2 dans le cadre de la communication du bot.

Pour contrecarrer l'analyse, les artefacts binaires utilisent une obfuscation sur mesure et du code indésirable. Ils possèdent des capacités pour extraire des données des navigateurs Web, capturer des captures d'écran, obtenir des jetons Discord, extraire des informations de Telegram et collecter les détails du compte Facebook.

Check Point a également identifié un deuxième échantillon BundleBot qui est presque identique à tous égards, à l'exception de son utilisation de HTTPS pour exfiltrer des informations vers un serveur distant sous la forme d'une archive ZIP.

Selon Check Point, les acteurs de la menace utilisent les publicités Facebook et les comptes compromis pour diffuser des logiciels malveillants depuis un certain temps déjà, mais en les combinant avec des logiciels malveillants capables de voler les informations de compte Facebook, on peut créer une "routine autonome".