Rafinált BundleBot Kártevő Azonosítva a Google AI Chatbotjának és Hasznos Programoknak Látszó Álcák Mögött
Egy frissen felfedezett kártevőtörzs, melyet BundleBotnak hívunk, a .NET platformon alapuló, egyszerű-fájl telepítési technikákat használ, és titokban működik annak érdekében, hogy sérülékeny információkat szedjen össze a megtámadott rendszerekről.
„A BundleBot a dotnet csomagok (egyszerű-fájl) önálló formátumát használja, amely alacsony vagy nulla statikus érzékeléssel rendelkezik,” – nyilatkozta a Check Point legutóbbi jelentésében. Hozzátették, hogy a kártevőt „gyakran terjesztik Facebook hirdetések és kompromittált fiókok segítségével, amelyek olyan oldalakra irányítanak, amelyek álcáznak szokványos programok, AI eszközök és játékok képében.”
Néhány ilyen webhely a Google Bard-ot, a vállalat konverzációs generatív mesterséges intelligencia chatbotját igyekszik lemásolni, az áldozatokat hamis RAR archívum letöltésére csábítva („Google_AI.rar”), melyet legális felhőalapú tároló szolgáltatások, mint például a Dropbox hostol.
Az archívum kibontása után található egy futtatható fájl („GoogleAI.exe”), amely egy .NET egyszerű-fájl, önálló alkalmazás („GoogleAI.exe”), és beépíti a DLL fájlt („GoogleAI.dll”), melynek célja, hogy jelszóval védett ZIP archívumot töltse le a Google Drive-ról.
A ZIP fájl kibontása után előkerül egy másik .NET egyszerű-fájl, önálló alkalmazás („RiotClientServices.exe”), amely integrálja a BundleBot terhét („RiotClientServices.dll”) és egy parancsvezérlésű (C2) adat-szerializáló csomagot („LirarySharing.dll”).
„A RiotClientServices.dll egy egyedi, új stealer/bot, mely a LirarySharing.dll könyvtárat használja a csomag adatok feldolgozásához és szerializálásához, melyek a bot kommunikációja során kerülnek továbbításra a C2-nek,” – közölte az izraeli kiberbiztonsági cég.
A binárisok egyedi obfuszkációt és junk kódot alkalmaznak, hogy ellenálljanak az elemzésnek, valamint képesek webböngészőkből adatokat szivárogtatni, képernyőképeket készíteni, Discord tokeneket, Telegram információkat és Facebook fiók adatokat gyűjteni.
A Check Point azt is hozzátette, hogy észlelt egy másik, szinte minden aspektusában azonos BundleBot példányt, mely HTTPS protokollt használ az információk távoli szerverre való továbbításához ZIP archívum formájában.
A Google Bard csalik használatának ténye nem meglepő, figyelembe véve, hogy a kiberbűnözők kihasználták az ilyen AI eszközök népszerűségét a felhasználók megtévesztésére platformokon, mint a Facebook, ahol tudtuk nélkül letöltöttek különböző adatlopó kártevőket, mint a Doenerium.
„A szállítási módszer a Facebook hirdetések és kompromittált fiókok révén valami, amit a fenyegető szereplők már egy ideje kihasználnak, de az áldozat Facebook fiókinformációjának ellopása képességgel kombinálva ez trükkös öntápláló rutint képez,” – jegyezte meg a cég.
Ezek a fejlemények a Malwarebytes által felfedezett új kampányt követik, mely szponzorált bejegyzéseket és kompromittált hitelesített fiókokat használ, amelyek a Facebook hirdetéskezelőjét utánozzák, hogy rávegyék a felhasználókat rosszindulatú Google Chrome kiterjesztések letöltésére, melyek arra terveztek, hogy ellopják a Facebook bejelentkezési adatait.
Azok a felhasználók, akik a beágyazott linkre kattintanak, egy RAR archívum letöltésére lesznek felszólítva, mely tartalmaz egy MSI telepítőfájlt, ami pedig egy batch scriptet indít, hogy új Google Chrome ablakot hozzon létre a rosszindulatú kiterjesztés betöltésével a „–load-extension” kapcsoló segítségével –
„Ez a saját kiterjesztés ügyesen álcázva van Google Fordítóként és ‘kicsomagolt’-nak számít, mert azt a helyi számítógépről töltötték be, nem pedig a Chrome Webáruházból,” – magyarázta a Malwarebytes.
Forrás: thehackernews.com