BundleBot udaje Google Chatbota

Nowa odmiana złośliwego oprogramowania o nazwie BundleBot działa w ukryciu, wykorzystując techniki wdrażania pojedynczego pliku platformy .NET w celu potajemnego uzyskiwania poufnych informacji z zaatakowanych hostów.

Według raportu opublikowanego przez Check Point w tym tygodniu, BundleBot korzysta z samodzielnego formatu pakietu dotnet (pojedynczy plik), co skutkuje minimalnym lub żadnym wykryciem przez analizę statyczną. Szkodliwe oprogramowanie jest powszechnie dystrybuowane za pośrednictwem reklam na Facebooku i przejętych kont, podszywając się pod zwykłe programy narzędziowe, narzędzia sztucznej inteligencji lub gry.

Niektóre z oszukańczych stron internetowych zaprojektowanych w celu oszukania ofiar symulują Google Bard, konwersacyjnego chatbota ze sztuczną inteligencją firmy Google. Witryny te nakłaniają ofiary do pobrania fałszywego archiwum RAR o nazwie „Google_AI.rar", które jest hostowane w legalnych usługach przechowywania w chmurze, takich jak Dropbox.

Metoda operacji

Po rozpakowaniu plik archiwum zawiera plik wykonywalny („GoogleAI.exe”), który jest jednoplikową, samodzielną aplikacją platformy .NET. Ten plik wykonywalny zawiera plik DLL („GoogleAI.dll”) odpowiedzialny za pobieranie chronionego hasłem archiwum ZIP z Dysku Google.

Wyodrębniona zawartość pliku ZIP („ADSNEW-1.0.0.3.zip”) to kolejna jednoplikowa, samodzielna aplikacja .NET („RiotClientServices.exe”) zawierająca ładunek BundleBot („RiotClientServices.dll”) oraz serializator danych pakietowych typu Command-and-Control (C2) („LirarySharing.dll”).

Izraelska firma zajmująca się cyberbezpieczeństwem wyjaśniła, że zestaw „RiotClientServices.dll” to niestandardowy, nowy złodziej/bot, wykorzystujący bibliotekę „LirarySharing.dll” do przetwarzania i serializacji danych pakietowych wysyłanych do serwera C2 w ramach komunikacji z botem.

Aby udaremnić analizę, artefakty binarne wykorzystują niestandardowe zaciemnianie i śmieciowy kod. Posiadają możliwości wydobywania danych z przeglądarek internetowych, przechwytywania zrzutów ekranu, uzyskiwania tokenów Discord, wydobywania informacji z Telegramu i zbierania danych konta na Facebooku.

Check Point zidentyfikował również drugą próbkę BundleBota, która jest prawie identyczna we wszystkich aspektach, z wyjątkiem użycia HTTPS do eksfiltracji informacji na zdalny serwer w postaci archiwum ZIP.

Według firmy Check Point cyberprzestępcy od pewnego czasu wykorzystują reklamy na Facebooku i przejęte konta do dostarczania złośliwego oprogramowania, ale połączenie tego ze złośliwym oprogramowaniem, które może ukraść informacje o koncie na Facebooku, może stworzyć „samopodtrzymującą się rutynę”.