A BundleBot Google Chatbotnak álcázza magát

A rosszindulatú szoftverek új törzse, a BundleBot, rejtetten működik, és a .NET egyfájlos telepítési technikákat használja ki, hogy titkos információkat szerezzen be a feltört gazdagépektől.

A Check Point által ezen a héten közzétett jelentés szerint a BundleBot kihasználja a dotnet köteg (egyfájlos) önálló formátum előnyeit, ami minimális vagy egyáltalán nem észleli a statikus elemzést. A rosszindulatú programokat általában Facebook-hirdetéseken és feltört fiókokon keresztül terjesztik, rendszeres segédprogramoknak, mesterséges intelligencia-eszközöknek vagy játékoknak álcázva magát.

Az áldozatok megtévesztésére tervezett csaló webhelyek némelyike a Google Bard-ot szimulálja, amely a Google társalgási generatív mesterséges intelligencia chatbotja. Ezek a webhelyek arra csábítják az áldozatokat, hogy töltsenek le egy "Google_AI.rar" nevű hamis RAR-archívumot, amelyet legitim felhőalapú tárhelyszolgáltatásokon, például a Dropboxon tárolnak.

Működési mód

A kicsomagolás után az archív fájl egy végrehajtható fájlt („GoogleAI.exe”) tartalmaz, amely egy .NET egyfájlos, önálló alkalmazás. Ez a végrehajtható fájl tartalmaz egy DLL-fájlt ("GoogleAI.dll"), amely egy jelszóval védett ZIP-archívum lekéréséért felelős a Google Drive-ból.

A ZIP-fájl kicsomagolt tartalma ("ADSNEW-1.0.0.3.zip") egy másik .NET egyfájlból álló, önálló alkalmazás ("RiotClientServices.exe"), amely magában foglalja a BundleBot hasznos adatát ("RiotClientServices.dll") és egy parancs- és vezérlőcsomagot ("Liserial"i.sering).

Az izraeli kiberbiztonsági vállalat elmagyarázta, hogy a "RiotClientServices.dll" összeállítás egy egyedi, új lopó/bot, amely a "LirarySharing.dll" könyvtárat használja fel a C2-kiszolgálóra küldött csomagadatok feldolgozására és sorba rendezésére a bot-kommunikáció részeként.

Az elemzés meghiúsítása érdekében a bináris műtermékek egyedi elfedést és kéretlen kódot alkalmaznak. Képesek adatokat kinyerni a webböngészőkből, képernyőképeket készíteni, Discord tokeneket szerezni, információkat kinyerni a Telegramból, és összegyűjteni a Facebook-fiók adatait.

A Check Point egy második BundleBot mintát is azonosított, amely szinte minden tekintetben megegyezik, kivéve a HTTPS-t az információk távoli szerverre való kiszűrésére ZIP archívum formájában.

A Check Point szerint a fenyegetés szereplői már egy ideje Facebook-hirdetéseket és feltört fiókokat használnak rosszindulatú programok terjesztésére, de ha ezt kombinálják olyan rosszindulatú programokkal, amelyek ellophatják a Facebook-fiókok adatait, akkor "önfenntartó rutin" jöhet létre.