BundleBot 伪装成 Google 聊天机器人

一种名为 BundleBot 的新型恶意软件一直在秘密运行，利用 .NET 单文件部署技术从受感染的主机秘密获取敏感信息。

根据 Check Point 本周发布的一份报告，BundleBot 正在利用 dotnet 捆绑包（单文件）自包含格式，从而导致静态分析检测很少或根本没有检测到。该恶意软件通常通过 Facebook 广告和受感染的帐户进行传播，将自己伪装成常规程序实用程序、人工智能工具或游戏。

一些旨在欺骗受害者的欺诈网站模拟 Google Bard，这是 Google 的一款对话式生成人工智能聊天机器人。这些网站引诱受害者下载名为“Google_AI.rar”的虚假 RAR 存档，该存档托管在 Dropbox 等合法云存储服务上。

操作方法

解压后，存档文件包含一个可执行文件（“GoogleAI.exe”），它是 .NET 单文件、独立的应用程序。该可执行文件包含一个 DLL 文件（“GoogleAI.dll”），负责从 Google Drive 获取受密码保护的 ZIP 存档。

ZIP 文件（“ADSNEW-1.0.0.3.zip”）的提取内容是另一个 .NET 单文件独立应用程序（“RiotClientServices.exe”），其中包含 BundleBot 有效负载（“RiotClientServices.dll”）和命令和控制 (C2) 数据包数据序列化程序（“LirarySharing.dll”）。

这家以色列网络安全公司解释说，“RiotClientServices.dll”程序集是一个定制的新窃取程序/机器人，利用“LirarySharing.dll”库来处理和序列化发送到 C2 服务器的数据包数据，作为机器人通信的一部分。

为了阻止分析，二进制工件使用了定制的混淆和垃圾代码。他们拥有从网络浏览器中提取数据、捕获屏幕截图、获取 Discord 代币、从 Telegram 中提取信息以及收集 Facebook 帐户详细信息的功能。

Check Point 还发现了第二个 BundleBot 样本，除了使用 HTTPS 以 ZIP 存档形式将信息泄露到远程服务器之外，该样本在所有方面都几乎相同。

据 Check Point 称，威胁行为者使用 Facebook 广告和受损帐户来传播恶意软件已经有一段时间了，但将其与可以窃取 Facebook 帐户信息的恶意软件结合起来可以创建一个“自我维持的例程”。