BundleBot si maschera da Google Chatbot
Un nuovo ceppo di software dannoso, denominato BundleBot, ha operato di nascosto, sfruttando le tecniche di distribuzione a file singolo .NET per ottenere clandestinamente informazioni riservate da host compromessi.
Secondo un rapporto pubblicato da Check Point questa settimana, BundleBot sta sfruttando il formato autonomo dotnet bundle (file singolo), con conseguente rilevamento minimo o nullo da parte dell'analisi statica. Il malware viene comunemente distribuito tramite annunci di Facebook e account compromessi, mascherandosi da normali programmi di utilità, strumenti di intelligenza artificiale o giochi.
Alcuni dei siti Web fraudolenti progettati per ingannare le vittime simulano Google Bard, un chatbot di intelligenza artificiale generativa conversazionale di Google. Questi siti attirano le vittime a scaricare un falso archivio RAR denominato "Google_AI.rar", che è ospitato su servizi di cloud storage legittimi come Dropbox.
Metodo di funzionamento
Una volta decompresso, il file di archivio contiene un file eseguibile ("GoogleAI.exe"), che è l'applicazione autonoma a file singolo .NET. Questo eseguibile include un file DLL ("GoogleAI.dll"), responsabile del recupero di un archivio ZIP protetto da password da Google Drive.
Il contenuto estratto del file ZIP ("ADSNEW-1.0.0.3.zip") è un'altra applicazione autonoma a file singolo .NET ("RiotClientServices.exe") che incorpora il payload BundleBot ("RiotClientServices.dll") e un serializzatore di dati a pacchetto di comando e controllo (C2) ("LirarySharing.dll").
La società di sicurezza informatica israeliana ha spiegato che l'assembly "RiotClientServices.dll" è un nuovo stealer/bot personalizzato, che utilizza la libreria "LirarySharing.dll" per elaborare e serializzare i dati dei pacchetti inviati al server C2 come parte della comunicazione del bot.
Per contrastare l'analisi, gli artefatti binari utilizzano l'offuscamento personalizzato e il codice spazzatura. Possiedono capacità per estrarre dati dai browser Web, acquisire schermate, ottenere token Discord, estrarre informazioni da Telegram e raccogliere i dettagli dell'account Facebook.
Check Point ha anche identificato un secondo campione di BundleBot che è quasi identico sotto tutti gli aspetti, ad eccezione dell'uso di HTTPS per esfiltrare le informazioni su un server remoto sotto forma di un archivio ZIP.
Secondo Check Point, gli attori delle minacce utilizzano Facebook Ads e account compromessi per fornire malware da qualche tempo, ma la combinazione di questo con malware in grado di rubare le informazioni dell'account Facebook può creare una "routine autosufficiente".
