A BundleBot Kártevő: Rejtőzködés Google AI Chatbot és Utility Programok Mögött

Szerző:

Finomított BundleBot Kártevő Rejtőzik Google AI Chatbot és Utility Programok Mögött

Egy új kártevőtörzs, ismert nevén a BundleBot, .NET egyszerű-fájl telepítési technikákat használva, alattomosan üzemel, lehetővé téve a fenyegető szereplők számára, hogy érzékeny információkat gyűjtsenek össze a megtámadott gazdagépekről.

„A BundleBot kihasználja a dotnet csomag (egyszerű-fájl) önmagában tartalmazó formátumát, ami nagyon alacsony vagy egyáltalán nem érzékelhető statikus detekcióval,” – közölte a Check Point e heti jelentésében, hozzátéve, hogy a kártevőt „gyakran terjesztik Facebook hirdetések és kompromittált fiókok útján, amelyek olyan weboldalakra vezetnek, amelyek álcáznak rendszeres program utility-ként, AI eszközöként és játékokként.”

Ezek közül néhány weboldal a Google Bard-ot, a cég konverzációs generatív mesterséges intelligencia chatbotját próbálja utánozni, csábítva az áldozatokat, hogy letöltsenek egy hamis RAR archívumot („Google_AI.rar”), amelyet legitim felhőalapú tároló szolgáltatások, mint a Dropbox hostol.

Az archívumfájl kibontása után található egy futtatható fájl („GoogleAI.exe”), ami a .NET egyszerű-fájl, önmagában tartalmazó alkalmazás („GoogleAI.exe”), ami pedig beépíti a DLL fájlt („GoogleAI.dll”), aminek az a feladata, hogy jelszóval védett ZIP archívumot hozzon le a Google Drive-ról.

A ZIP fájl kibontott tartalma („ADSNEW-1.0.0.3.zip”) egy másik .NET egyszerű-fájl, önmagában tartalmazó alkalmazás („RiotClientServices.exe”), amely beépíti a BundleBot terhet („RiotClientServices.dll”) és egy parancs-és-kontroll (C2) csomag adat-szerializálót („LirarySharing.dll”).

„A RiotClientServices.dll egyéni, új stealer/bot, amely a LirarySharing.dll könyvtárat használja a csomag adatok feldolgozására és szerializálására, amelyek a bot kommunikáció részeként kerülnek elküldésre a C2-nek,” – mondta az izraeli kiberbiztonsági cég.

A bináris műalkotások egyedi obfuszkációt és junk kódot alkalmaznak az elemzés ellenállása érdekében, és képességekkel rendelkeznek adatok szivárogtatására webböngészőkből, képernyőképek rögzítésére, Discord tokenek, Telegram információk és Facebook fiók adatainak begyűjtésére.

A Check Point azt is közölte, hogy észlelt egy második, szinte minden szempontból azonos BundleBot mintát, amely HTTPS protokollt használ az információk egy távoli szerverre történő kiszivárogtatásához ZIP archívum formájában.

A Google Bard csalik használata nem meglepő, tekintettel arra, hogy az ilyen AI eszközök népszerűségét a kiberbűnözők az elmúlt hónapokban kihasználták a felhasználók megtévesztésére platformokon, mint a Facebook, ahol tudtuk nélkül letöltöttek különböző info-lopó kártevőket, mint a Doenerium.

„A szállítási módszer a Facebook hirdetések és kompromittált fiókok révén olyan dolog, amelyet a fenyegető szereplők már egy ideje alkalmaznak,” – mondta Jerome Segura, a Malwarebytes kutatója. „Ez a csalási technika olyan dolgokat használ, mint a Google Drive, amit már láttunk más ransomware és kártevő kampányokban.”

„A csalóknak rengeteg idejük van, és évekig tanulmányozzák és értik, hogyan tudják kihasználni a közösségi média és felhőalapú platformokat, ahol folyamatosan fegyverkeznek a rosszindulatú szereplők kiszorítása érdekében,” – mondta Segura. „Emlékezzünk arra, hogy nincs ezüstgolyó, és minden, ami túl jónak tűnik ahhoz, hogy igaz legyen, nagyon is lehet, hogy csalás álcája.”

Forrás: thehackernews.com