BundleBot maskerer seg som Google Chatbot
En ny stamme av ondsinnet programvare, kalt BundleBot, har operert i det skjulte og utnyttet .NET-enkeltfildistribusjonsteknikker for å i det skjulte skaffe sensitiv informasjon fra kompromitterte verter.
I følge en rapport publisert av Check Point denne uken, drar BundleBot nytte av dotnet-bunten (enkeltfil) selvstendig format, noe som resulterer i minimal eller ingen deteksjon ved statisk analyse. Skadevaren distribueres vanligvis gjennom Facebook-annonser og kompromitterte kontoer, forkledd seg som vanlige programverktøy, AI-verktøy eller spill.
Noen av de uredelige nettstedene designet for å lure ofre simulerer Google Bard, en samtalegenerativ kunstig intelligens chatbot fra Google. Disse nettstedene lokker ofre til å laste ned et falskt RAR-arkiv kalt «Google_AI.rar», som ligger på legitime skylagringstjenester som Dropbox.
Metode for operasjon
Når den er pakket ut, inneholder arkivfilen en kjørbar fil ("GoogleAI.exe"), som er .NET enkeltfil, selvstendig applikasjon. Denne kjørbare filen inkluderer en DLL-fil ("GoogleAI.dll"), ansvarlig for å hente et passordbeskyttet ZIP-arkiv fra Google Disk.
Det utpakkede innholdet i ZIP-filen ("ADSNEW-1.0.0.3.zip") er en annen .NET enkeltfil, selvstendig applikasjon ("RiotClientServices.exe") som inneholder BundleBot-nyttelasten ("RiotClientServices.dll") og en kommando-og-kontroll (C2) pakkedataserialisering ("LirarySharing.dll").
Det israelske cybersikkerhetsselskapet forklarte at "RiotClientServices.dll"-sammenstillingen er en tilpasset, ny stjeler/bot, som bruker "LirarySharing.dll"-biblioteket til å behandle og serialisere pakkedata sendt til C2-serveren som en del av botkommunikasjonen.
For å hindre analyse, bruker de binære artefaktene skreddersydd obfuskasjon og søppelkode. De har evner til å trekke ut data fra nettlesere, ta skjermbilder, skaffe Discord-tokens, trekke ut informasjon fra Telegram og samle Facebook-kontodetaljer.
Check Point identifiserte også en andre BundleBot-prøve som er nesten identisk i alle aspekter, bortsett fra bruken av HTTPS for å eksfiltrere informasjon til en ekstern server i form av et ZIP-arkiv.
Ifølge Check Point har trusselaktører brukt Facebook-annonser og kompromitterte kontoer for å levere skadevare i en stund nå, men å kombinere dette med skadelig programvare som kan stjele Facebook-kontoinformasjon kan skape en "selvopprettholdende rutine".
