21 lipca 2023 rTHNCyberzagrożenie / złośliwe oprogramowanie

Nowy szczep złośliwego oprogramowania znany jako BundleBot działał potajemnie pod radarem, wykorzystując techniki wdrażania pojedynczego pliku .NET, umożliwiając cyberprzestępcom przechwytywanie poufnych informacji z zaatakowanych hostów.

„BundleBot nadużywa pakietu dotnet (pojedynczy plik), samowystarczalnego formatu, który skutkuje bardzo niskim wykrywaniem statycznym lub w ogóle go nie wykrywa” – powiedział Check Point w raporcie opublikowanym w tym tygodniu, dodając, że jest „powszechnie dystrybuowany za pośrednictwem reklam na Facebooku i przejętych kont, co prowadzi do witryn udających zwykłe programy narzędziowe, narzędzia AI i gry”.

Niektóre z tych witryn mają na celu naśladowanie Google Bard, konwersacyjnego chatbota ze sztuczną inteligencją firmy, zachęcając ofiary do pobrania fałszywego archiwum RAR („Google_AI.rar”) hostowanego w legalnych usługach przechowywania w chmurze, takich jak Dropbox.

Po rozpakowaniu plik archiwum zawiera plik wykonywalny („GoogleAI.exe”), który jest jednoplikową, samodzielną aplikacją .NET („GoogleAI.exe”), która z kolei zawiera plik DLL („GoogleAI.dll”), którego zadaniem jest pobranie chronionego hasłem archiwum ZIP z Dysku Google.

Wyodrębniona zawartość pliku ZIP („ADSNEW-1.0.0.3.zip”) to kolejna jednoplikowa, samodzielna aplikacja .NET („RiotClientServices.exe”), która zawiera ładunek BundleBot („RiotClientServices.dll”) oraz serializator danych pakietowych typu Command-and-Control (C2) („LirarySharing.dll”).

„Zespół RiotClientServices.dll jest niestandardowym, nowym narzędziem wykradającym/botem, który wykorzystuje bibliotekę LirarySharing.dll do przetwarzania i serializacji danych pakietowych wysyłanych do C2 w ramach komunikacji botów” – powiedziała izraelska firma zajmująca się cyberbezpieczeństwem.

Artefakty binarne wykorzystują niestandardowe zaciemnianie i śmieciowy kod, aby oprzeć się analizie, i mają możliwość wysysania danych z przeglądarek internetowych, robienia zrzutów ekranu, pobierania tokenów Discord, informacji z Telegramu i danych konta na Facebooku.

Check Point powiedział, że wykrył również drugą próbkę BundleBota, która jest praktycznie identyczna we wszystkich aspektach, z wyjątkiem użycia HTTPS do eksfiltracji informacji na zdalny serwer w postaci archiwum ZIP.

Wykorzystanie wabików Google Bard nie powinno dziwić, biorąc pod uwagę fakt, że popularność takich narzędzi sztucznej inteligencji została w ostatnich miesiącach wykorzystana przez cyberprzestępców do oszukiwania użytkowników platform takich jak Facebook, aby nieświadomie pobierali różnorodne złośliwe oprogramowanie kradnące informacje, takie jak Doenerium.

„Metoda dostarczania za pośrednictwem reklam na Facebooku i przejętych kont jest czymś, co od jakiegoś czasu jest nadużywane przez cyberprzestępców, a mimo to połączenie jej z jedną z możliwości ujawnionego złośliwego oprogramowania (kradzież informacji o koncie ofiary na Facebooku) może służyć jako podstępna rutyna samonapędzająca się” – zauważyła firma.

Rozwój nastąpił, gdy Malwarebytes odkrył nową kampanię, która wykorzystuje sponsorowane posty i naruszyła zweryfikowane konta, które podszywają się pod Menedżera reklam Facebooka, aby zachęcić użytkowników do pobrania nieuczciwych rozszerzeń Google Chrome, które mają na celu kradzież danych logowania do Facebooka.

Użytkownicy, którzy klikną osadzony link, są proszeni o pobranie pliku archiwum RAR zawierającego plik instalatora MSI, który ze swojej strony uruchamia skrypt wsadowy w celu odrodzenia nowego okna Google Chrome ze złośliwym rozszerzeniem załadowanym za pomocą flagi „–load-extension” –

uruchom chrome.exe –load-extension=”%~dp0/nmmhkkegccagdldgiimedpiccmgmiedagg4″ „

„To niestandardowe rozszerzenie jest sprytnie zamaskowane jako Tłumacz Google i jest uważane za„ rozpakowane ”, ponieważ zostało załadowane z lokalnego komputera, a nie z Chrome Web Store” — wyjaśnił Jérôme Segura, dyrektor ds.

Przechwycone dane są następnie wysyłane za pomocą interfejsu API Google Analytics w celu obejścia zasad bezpieczeństwa treści (CSP) wprowadzonych w celu ograniczenia ataków typu cross-site scripting (XSS) i wstrzykiwania danych.

Podejrzewa się, że cyberprzestępcy stojący za tą działalnością są pochodzenia wietnamskiego, którzy w ostatnich miesiącach wykazywali duże zainteresowanie atakami na konta biznesowe i reklamowe Facebooka. Dotknęło to ponad 800 ofiar na całym świecie, z czego 310 w Stanach Zjednoczonych

„Oszuści mają dużo czasu i spędzają lata studiując i rozumiejąc, jak nadużywać mediów społecznościowych i platform chmurowych, gdzie trwa ciągły wyścig zbrojeń, aby powstrzymać złych aktorów” – powiedział Segura. „Pamiętaj, że nie ma złotego środka, a wszystko, co brzmi zbyt dobrze, aby było prawdziwe, może być oszustwem w przebraniu”.