BundleBot se disfarça como Google Chatbot

Um novo tipo de software malicioso, chamado BundleBot, tem operado secretamente, explorando técnicas de implantação de arquivo único .NET para obter clandestinamente informações confidenciais de hosts comprometidos.

De acordo com um relatório publicado pela Check Point esta semana, o BundleBot está aproveitando o formato autocontido do dotnet bundle (arquivo único), resultando em detecção mínima ou nenhuma detecção por análise estática. O malware é comumente distribuído por meio de anúncios do Facebook e contas comprometidas, disfarçando-se como utilitários de programa regulares, ferramentas de IA ou jogos.

Alguns dos sites fraudulentos projetados para enganar as vítimas simulam o Google Bard, um chatbot de inteligência artificial geradora de conversação do Google. Esses sites induzem as vítimas a baixar um arquivo RAR falso chamado "Google_AI.rar", que é hospedado em serviços legítimos de armazenamento em nuvem, como o Dropbox.

Método de operação

Depois de descompactado, o arquivo compactado contém um arquivo executável ("GoogleAI.exe"), que é o aplicativo autônomo de arquivo único .NET. Este executável inclui um arquivo DLL ("GoogleAI.dll"), responsável por buscar um arquivo ZIP protegido por senha do Google Drive.

O conteúdo extraído do arquivo ZIP ("ADSNEW-1.0.0.3.zip") é outro aplicativo independente de arquivo único .NET ("RiotClientServices.exe") que incorpora a carga útil do BundleBot ("RiotClientServices.dll") e um serializador de dados de pacote de comando e controle (C2) ("LirarySharing.dll").

A empresa israelense de segurança cibernética explicou que o assembly "RiotClientServices.dll" é um novo ladrão/bot personalizado, que utiliza a biblioteca "LirarySharing.dll" para processar e serializar dados de pacotes enviados ao servidor C2 como parte da comunicação do bot.

Para impedir a análise, os artefatos binários empregam ofuscação personalizada e código indesejado. Eles possuem recursos para extrair dados de navegadores da web, capturar capturas de tela, obter tokens do Discord, extrair informações do Telegram e coletar detalhes da conta do Facebook.

A Check Point também identificou um segundo exemplo de BundleBot que é quase idêntico em todos os aspectos, exceto pelo uso de HTTPS para exfiltrar informações para um servidor remoto na forma de um arquivo ZIP.

De acordo com a Check Point, os agentes de ameaças têm usado anúncios do Facebook e contas comprometidas para entregar malware há algum tempo, mas combinar isso com malware que pode roubar informações da conta do Facebook pode criar uma “rotina autossustentável”.