BundleBot doet zich voor als Google Chatbot
Een nieuwe soort schadelijke software, genaamd BundleBot, is heimelijk actief geweest en maakte gebruik van .NET-technieken voor de implementatie van één bestand om clandestien gevoelige informatie van gecompromitteerde hosts te verkrijgen.
Volgens een rapport dat deze week door Check Point is gepubliceerd, profiteert BundleBot van de dotnet-bundel (enkel bestand) op zichzelf staand formaat, wat resulteert in minimale of geen detectie door statische analyse. De malware wordt gewoonlijk verspreid via Facebook-advertenties en gecompromitteerde accounts, waarbij het zichzelf vermomt als reguliere programmahulpprogramma's, AI-tools of games.
Sommige van de frauduleuze websites die zijn ontworpen om slachtoffers te misleiden, simuleren Google Bard, een gespreksgenererende kunstmatige intelligentie-chatbot van Google. Deze sites verleiden slachtoffers tot het downloaden van een nep-RAR-archief met de naam "Google_AI.rar", dat wordt gehost op legitieme cloudopslagdiensten zoals Dropbox.
Werkwijze
Eenmaal uitgepakt bevat het archiefbestand een uitvoerbaar bestand ("GoogleAI.exe"), de .NET single-file, op zichzelf staande applicatie. Dit uitvoerbare bestand bevat een DLL-bestand ("GoogleAI.dll"), dat verantwoordelijk is voor het ophalen van een met een wachtwoord beveiligd ZIP-archief van Google Drive.
De geëxtraheerde inhoud van het ZIP-bestand ("ADSNEW-1.0.0.3.zip") is een andere .NET single-file, op zichzelf staande applicatie ("RiotClientServices.exe") met de BundleBot-payload ("RiotClientServices.dll") en een command-and-control (C2) packet data serializer ("LirarySharing.dll").
Het Israëlische cyberbeveiligingsbedrijf legde uit dat de "RiotClientServices.dll"-assemblage een aangepaste, nieuwe stealer/bot is, die de "LirarySharing.dll"-bibliotheek gebruikt om pakketgegevens die naar de C2-server worden verzonden als onderdeel van de botcommunicatie te verwerken en te serialiseren.
Om analyse te dwarsbomen, maken de binaire artefacten gebruik van op maat gemaakte verduistering en ongewenste code. Ze beschikken over mogelijkheden om gegevens uit webbrowsers te extraheren, screenshots te maken, Discord-tokens te verkrijgen, informatie uit Telegram te extraheren en Facebook-accountgegevens te verzamelen.
Check Point identificeerde ook een tweede BundleBot-voorbeeld dat in alle opzichten vrijwel identiek is, behalve het gebruik van HTTPS om informatie naar een externe server te exfiltreren in de vorm van een ZIP-archief.
Volgens Check Point gebruiken aanvallers al een tijdje Facebook-advertenties en gecompromitteerde accounts om malware te leveren, maar door dit te combineren met malware die Facebook-accountgegevens kan stelen, kan een "zelfvoorzienende routine" ontstaan.
