BundleBot maskerar sig som Google Chatbot
En ny stam av skadlig programvara, som heter BundleBot, har opererat i hemlighet och utnyttjat .NET-enkelfilsdistributionstekniker för att i hemlighet skaffa känslig information från komprometterade värdar.
Enligt en rapport som publicerades av Check Point denna vecka, drar BundleBot fördel av dotnet-paketet (single-file) fristående format, vilket resulterar i minimal eller ingen upptäckt genom statisk analys. Skadlig programvara distribueras vanligen via Facebook-annonser och komprometterade konton, förklädd som vanliga programverktyg, AI-verktyg eller spel.
Några av de bedrägliga webbplatserna som utformats för att lura offer simulerar Google Bard, en konversationsgenerativ artificiell intelligens chatbot från Google. Dessa webbplatser lockar offer att ladda ner ett falskt RAR-arkiv med namnet "Google_AI.rar", som finns på legitima molnlagringstjänster som Dropbox.
Arbetssätt
När den väl har packats upp innehåller arkivfilen en körbar fil ("GoogleAI.exe"), som är den fristående applikationen med en .NET-fil. Den här körbara filen innehåller en DLL-fil ("GoogleAI.dll"), ansvarig för att hämta ett lösenordsskyddat ZIP-arkiv från Google Drive.
Det extraherade innehållet i ZIP-filen ("ADSNEW-1.0.0.3.zip") är en annan .NET-enfil, fristående applikation ("RiotClientServices.exe") som innehåller BundleBot-nyttolasten ("RiotClientServices.dll") och en kommando-och-kontroll (C2) paketdataserialiserare ("LirarySharing.dll").
Det israeliska cybersäkerhetsföretaget förklarade att "RiotClientServices.dll"-sammansättningen är en anpassad, ny stjälare/bot, som använder biblioteket "LirarySharing.dll" för att bearbeta och serialisera paketdata som skickas till C2-servern som en del av botkommunikationen.
För att omintetgöra analys använder de binära artefakterna skräddarsydd obfuskation och skräpkod. De har kapacitet att extrahera data från webbläsare, ta skärmdumpar, få Discord-tokens, extrahera information från Telegram och samla in Facebook-kontodetaljer.
Check Point identifierade också ett andra BundleBot-exempel som är nästan identiskt i alla aspekter, förutom dess användning av HTTPS för att exfiltrera information till en fjärrserver i form av ett ZIP-arkiv.
Enligt Check Point har hotaktörer använt Facebook-annonser och komprometterade konton för att leverera skadlig programvara sedan en tid tillbaka, men att kombinera detta med skadlig programvara som kan stjäla Facebook-kontoinformation kan skapa en "självförsörjande rutin".
