BundleBot maskuojasi kaip Google Chatbot
Nauja kenkėjiškos programinės įrangos atmaina, pavadinta „BundleBot“, veikia slaptai, naudodama .NET vieno failo diegimo metodus, kad slapta gautų neskelbtiną informaciją iš pažeistų prieglobų.
Remiantis šią savaitę „Check Point“ paskelbta ataskaita, „BundleBot“ naudojasi „dotnet“ paketo (vieno failo) savarankiško formato pranašumais, todėl atliekant statinę analizę aptikimas yra minimalus arba jo nėra. Kenkėjiška programa dažniausiai platinama per „Facebook“ skelbimus ir pažeistas paskyras, užmaskuojant save kaip įprastos programos, dirbtinio intelekto įrankiai ar žaidimai.
Kai kurios apgaulingos svetainės, sukurtos apgauti aukas, imituoja „Google Bard“ – pokalbių generuojamąjį dirbtinio intelekto pokalbių robotą iš „Google“. Šios svetainės vilioja aukas atsisiųsti netikrą RAR archyvą pavadinimu „Google_AI.rar“, kuris yra priglobtas teisėtose debesų saugyklose, tokiose kaip „Dropbox“.
Veikimo būdas
Išpakavus archyvo failą, jame yra vykdomasis failas („GoogleAI.exe“), kuris yra atskira .NET vieno failo programa. Šiame vykdomajame faile yra DLL failas („GoogleAI.dll“), atsakingas už slaptažodžiu apsaugoto ZIP archyvo gavimą iš „Google“ disko.
Išskleistas ZIP failo turinys („ADSNEW-1.0.0.3.zip“) yra kita .NET vieno failo, savarankiška programa („RiotClientServices.exe“), apimanti „BundleBot“ naudingą apkrovą („RiotClientServices.dll“) ir komandų ir valdymo (C2) duomenų paketą („Lisserial“i.S).
Izraelio kibernetinio saugumo įmonė paaiškino, kad „RiotClientServices.dll“ rinkinys yra pritaikytas naujas vagystė / robotas, naudojanti „LirarySharing.dll“ biblioteką, kad apdorotų ir nuosekliai sutvarkytų paketų duomenis, siunčiamus į C2 serverį kaip roboto ryšio dalį.
Siekiant sutrukdyti analizei, dvejetainiuose artefaktuose naudojamas pagal užsakymą sukurtas užtemimas ir nepageidaujamas kodas. Jie turi galimybę išgauti duomenis iš interneto naršyklių, užfiksuoti ekrano kopijas, gauti Discord žetonus, išgauti informaciją iš Telegram ir rinkti Facebook paskyros informaciją.
„Check Point“ taip pat nustatė antrą „BundleBot“ pavyzdį, kuris yra beveik identiškas visais aspektais, išskyrus HTTPS naudojimą informacijai išfiltruoti į nuotolinį serverį ZIP archyvo pavidalu.
Anot „Check Point“, grėsmių veikėjai jau kurį laiką naudoja „Facebook“ reklamas ir pažeistas paskyras, kad pateiktų kenkėjiškas programas, tačiau tai derinant su kenkėjiškomis programomis, kurios gali pavogti „Facebook“ paskyros informaciją, gali sukurti „savaime išsilaikančią rutiną“.
