BundleBot 偽裝成 Google 聊天機器人

一種名為 BundleBot 的新型惡意軟件一直在秘密運行，利用 .NET 單文件部署技術從受感染的主機秘密獲取敏感信息。

根據 Check Point 本週發布的一份報告，BundleBot 正在利用 dotnet 捆綁包（單文件）自包含格式，從而導致靜態分析檢測很少或根本沒有檢測到。該惡意軟件通常通過 Facebook 廣告和受感染的帳戶進行傳播，將自己偽裝成常規程序實用程序、人工智能工具或遊戲。

一些旨在欺騙受害者的欺詐網站模擬 Google Bard，這是 Google 的一款對話式生成人工智能聊天機器人。這些網站引誘受害者下載名為“Google_AI.rar”的虛假 RAR 存檔，該存檔託管在 Dropbox 等合法雲存儲服務上。

操作方法

解壓後，存檔文件包含一個可執行文件（“GoogleAI.exe”），它是 .NET 單文件、獨立的應用程序。該可執行文件包含一個 DLL 文件（“GoogleAI.dll”），負責從 Google Drive 獲取受密碼保護的 ZIP 存檔。

ZIP 文件（“ADSNEW-1.0.0.3.zip”）的提取內容是另一個 .NET 單文件獨立應用程序（“RiotClientServices.exe”），其中包含 BundleBot 有效負載（“RiotClientServices.dll”）和命令和控制 (C2) 數據包數據序列化程序（“LirarySharing.dll”）。

這家以色列網絡安全公司解釋說，“RiotClientServices.dll”程序集是一個自定義的新竊取程序/機器人，利用“LirarySharing.dll”庫來處理和序列化發送到 C2 服務器的數據包數據，作為機器人通信的一部分。

為了阻止分析，二進制工件使用了定制的混淆和垃圾代碼。他們擁有從網絡瀏覽器中提取數據、捕獲屏幕截圖、獲取 Discord 代幣、從 Telegram 中提取信息以及收集 Facebook 帳戶詳細信息的功能。

Check Point 還發現了第二個 BundleBot 樣本，除了使用 HTTPS 以 ZIP 存檔形式將信息洩露到遠程服務器之外，該樣本在所有方面都幾乎相同。

據 Check Point 稱，威脅行為者使用 Facebook 廣告和受損帳戶來傳播惡意軟件已有一段時間了，但將其與可以竊取 Facebook 帳戶信息的惡意軟件結合起來可以創建一個“自我維持的例程”。