BundleBot маскируется под Google Chatbot

Новая разновидность вредоносного программного обеспечения под названием BundleBot действует тайно, используя методы развертывания одного файла .NET для тайного получения конфиденциальной информации с скомпрометированных хостов.

Согласно отчету, опубликованному Check Point на этой неделе, BundleBot использует автономный формат пакета dotnet (однофайловый), что приводит к минимальному обнаружению или отсутствию обнаружения при статическом анализе. Вредонос обычно распространяется через рекламу в Facebook и взломанные аккаунты, маскируясь под обычные программные утилиты, инструменты искусственного интеллекта или игры.

Некоторые из мошеннических веб-сайтов, предназначенных для обмана жертв, имитируют Google Bard, диалогового генеративного чат-бота с искусственным интеллектом от Google. Эти сайты заманивают жертв скачивать поддельный RAR-архив под названием «Google_AI.rar», который размещается в законных облачных хранилищах, таких как Dropbox.

Метод работы

После распаковки файл архива содержит исполняемый файл («GoogleAI.exe»), представляющий собой однофайловое автономное приложение .NET. Этот исполняемый файл включает файл DLL («GoogleAI.dll»), отвечающий за получение защищенного паролем ZIP-архива с Google Диска.

Извлеченное содержимое ZIP-файла («ADSNEW-1.0.0.3.zip») представляет собой еще одно автономное приложение .NET с одним файлом («RiotClientServices.exe»), включающее полезную нагрузку BundleBot («RiotClientServices.dll») и сериализатор пакетных данных с командным управлением (C2) («LirarySharing.dll»).

Израильская компания, занимающаяся кибербезопасностью, объяснила, что сборка RiotClientServices.dll представляет собой новый пользовательский бот/похититель, использующий библиотеку LirarySharing.dll для обработки и сериализации пакетных данных, отправляемых на сервер C2 в рамках связи с ботом.

Чтобы помешать анализу, бинарные артефакты используют специально созданную обфускацию и ненужный код. Они обладают возможностями для извлечения данных из веб-браузеров, создания снимков экрана, получения токенов Discord, извлечения информации из Telegram и сбора данных учетной записи Facebook.

Check Point также обнаружил второй образец BundleBot, который почти идентичен во всех аспектах, за исключением использования HTTPS для эксфильтрации информации на удаленный сервер в виде ZIP-архива.

По данным Check Point, злоумышленники уже некоторое время используют рекламу в Facebook и взломанные учетные записи для доставки вредоносных программ, но в сочетании с вредоносными программами, которые могут красть информацию об учетных записях Facebook, можно создать «самоподдерживающуюся рутину».