Нов щам на зловреден софтуер, известен като BundleBot, работи скрито под радара, като се възползва от техниките за внедряване на единични файлове в .NET, което позволява на заплахите да събират чувствителна информация от компрометирани хостове.

„BundleBot злоупотребява с дотнет пакета (единичен файл), самодостатъчен формат, който води до много слабо или никакво статично откриване“, казва Check Point в доклад, публикуван тази седмица, като добавя, че той „обикновено се разпространява чрез реклами във Facebook и компрометирани акаунти, водещи до уебсайтове, маскирани като обикновени програмни инструменти, инструменти за изкуствен интелект и игри“.

Някои от тези уебсайтове имат за цел да имитират Google Bard, разговорния генеративен чатбот с изкуствен интелект на компанията, като подмамват жертвите да изтеглят фалшив RAR архив („Google_AI.rar“), хостван в легитимни услуги за съхранение в облак, като например Dropbox.

Когато архивният файл бъде разопакован, той съдържа изпълним файл („GoogleAI.exe“), който представлява самостоятелно приложение („GoogleAI.exe“) за .NET с един файл, което на свой ред включва DLL файл („GoogleAI.dll“), чиято отговорност е да изтегли защитен с парола ZIP архив от Google Drive.

Изтегленото съдържание на ZIP файла („ADSNEW-1.0.0.3.zip“) е друго .NET еднофайлово, самостоятелно приложение („RiotClientServices.exe“), което включва полезния товар на BundleBot („RiotClientServices.dll“) и сериализатор на данни за пакети с команди и управление (C2) („LirarySharing.dll“).

„Асемблито RiotClientServices.dll е персонализиран, нов крадец/бот, който използва библиотеката LirarySharing.dll за обработка и сериализиране на пакетните данни, които се изпращат към C2 като част от комуникацията на бота“, заяви израелската компания за киберсигурност.

Бинарните артефакти използват специално създадена обфускация и ненужен код в стремежа си да устоят на анализа и разполагат с възможности за извличане на данни от уеб браузъри, заснемане на скрийншоти, заграбване на токени от Discord, информация от Telegram и данни за акаунти във Facebook.

Check Point съобщи, че е открил и втори образец на BundleBot, който е почти идентичен във всички аспекти, с изключение на използването на HTTPS за екфилтриране на информация към отдалечен сървър под формата на ZIP архив.

Използването на примамките на Google Bard не бива да изненадва, като се има предвид, че популярността на такива инструменти за изкуствен интелект беше използвана от киберпрестъпниците през последните месеци, за да заблудят потребителите на платформи като Facebook да изтеглят несъзнателно различни зловредни програми за кражба на информация като Doenerium.

„Методът на доставяне чрез реклами във Facebook и компрометирани акаунти е нещо, с което се злоупотребява от заплахите от известно време, но все пак комбинирането му с една от възможностите на разкрития зловреден софтуер (да открадне информация от акаунта на жертвата във Facebook) може да послужи като хитра схема за самоподхранване“, отбелязват от компанията.

Развитието идва след като Malwarebytes разкри нова кампания, която използва спонсорирани публикации и компрометирани проверени акаунти, които се представят за Facebook Ads Manager, за да подтикнат потребителите да изтеглят измамни разширения за Google Chrome, предназначени за кражба на информация за вход във Facebook.

Потребителите, които щракват върху вградената връзка, са подканени да изтеглят архивен файл RAR, съдържащ инсталационен файл MSI, който от своя страна стартира пакетния скрипт за създаване на нов прозорец на Google Chrome със злонамереното разширение, заредено с помощта на флага „–load-extension“.

start chrome.exe –load-extension=“%~dp0/nmmhkkegccagdldgiimedpiccmgmiedagg4″ „https://www.facebook.com/business/tools/ads-manager“

„Това персонализирано разширение е умело прикрито като Google Translate и се счита за „разопаковано“, тъй като е заредено от локалния компютър, а не от уеб магазина на Chrome“, обяснява Жером Сегура, директор на отдела за разузнаване на заплахи в Malwarebytes, като отбелязва, че то е „изцяло фокусирано върху Facebook и прихваща важни части от информацията, които могат да позволят на нападателя да влезе в акаунти“.

Впоследствие заловените данни се изпращат, като се използва API на Google Analytics, за да се заобиколят политиките за сигурност на съдържанието (CSP), въведени за намаляване на атаките с кръстосани скриптове (XSS) и инжектиране на данни.

Предполага се, че извършителите на заплахите, които стоят зад тази дейност, са от виетнамски произход и през последните месеци проявяват подчертан интерес към бизнес и рекламни акаунти във Facebook. Засегнати са над 800 жертви по целия свят, като 310 от тях се намират в САЩ.

„Измамниците разполагат с много време и прекарват години в изучаване и разбиране на начините за злоупотреба със социалните медии и облачните платформи, където е постоянна надпревара за недопускане на лоши типове“, каза Сегура. „Не забравяйте, че няма сребърен куршум и всичко, което звучи твърде добре, за да е истина, може да се окаже прикрита измама.“