Търсене
Close this search box.

Нов щам на зловреден софтуер, известен като BundleBot, работи скрито под радара, като се възползва от техниките за внедряване на единични файлове в .NET, което позволява на заплахите да събират чувствителна информация от компрометирани хостове.

„BundleBot злоупотребява с дотнет пакета (единичен файл), самодостатъчен формат, който води до много слабо или никакво статично откриване“, казва Check Point в доклад, публикуван тази седмица, като добавя, че той „обикновено се разпространява чрез реклами във Facebook и компрометирани акаунти, водещи до уебсайтове, маскирани като обикновени програмни инструменти, инструменти за изкуствен интелект и игри“.

Някои от тези уебсайтове имат за цел да имитират Google Bard, разговорния генеративен чатбот с изкуствен интелект на компанията, като подмамват жертвите да изтеглят фалшив RAR архив („Google_AI.rar“), хостван в легитимни услуги за съхранение в облак, като например Dropbox.

Когато архивният файл бъде разопакован, той съдържа изпълним файл („GoogleAI.exe“), който представлява самостоятелно приложение („GoogleAI.exe“) за .NET с един файл, което на свой ред включва DLL файл („GoogleAI.dll“), чиято отговорност е да изтегли защитен с парола ZIP архив от Google Drive.

Изтегленото съдържание на ZIP файла („ADSNEW-1.0.0.3.zip“) е друго .NET еднофайлово, самостоятелно приложение („RiotClientServices.exe“), което включва полезния товар на BundleBot („RiotClientServices.dll“) и сериализатор на данни за пакети с команди и управление (C2) („LirarySharing.dll“).

„Асемблито RiotClientServices.dll е персонализиран, нов крадец/бот, който използва библиотеката LirarySharing.dll за обработка и сериализиране на пакетните данни, които се изпращат към C2 като част от комуникацията на бота“, заяви израелската компания за киберсигурност.

Бинарните артефакти използват специално създадена обфускация и ненужен код в стремежа си да устоят на анализа и разполагат с възможности за извличане на данни от уеб браузъри, заснемане на скрийншоти, заграбване на токени от Discord, информация от Telegram и данни за акаунти във Facebook.

Check Point съобщи, че е открил и втори образец на BundleBot, който е почти идентичен във всички аспекти, с изключение на използването на HTTPS за екфилтриране на информация към отдалечен сървър под формата на ZIP архив.

Използването на примамките на Google Bard не бива да изненадва, като се има предвид, че популярността на такива инструменти за изкуствен интелект беше използвана от киберпрестъпниците през последните месеци, за да заблудят потребителите на платформи като Facebook да изтеглят несъзнателно различни зловредни програми за кражба на информация като Doenerium.

„Методът на доставяне чрез реклами във Facebook и компрометирани акаунти е нещо, с което се злоупотребява от заплахите от известно време, но все пак комбинирането му с една от възможностите на разкрития зловреден софтуер (да открадне информация от акаунта на жертвата във Facebook) може да послужи като хитра схема за самоподхранване“, отбелязват от компанията.

Развитието идва след като Malwarebytes разкри нова кампания, която използва спонсорирани публикации и компрометирани проверени акаунти, които се представят за Facebook Ads Manager, за да подтикнат потребителите да изтеглят измамни разширения за Google Chrome, предназначени за кражба на информация за вход във Facebook.

Потребителите, които щракват върху вградената връзка, са подканени да изтеглят архивен файл RAR, съдържащ инсталационен файл MSI, който от своя страна стартира пакетния скрипт за създаване на нов прозорец на Google Chrome със злонамереното разширение, заредено с помощта на флага „–load-extension“.

start chrome.exe –load-extension=“%~dp0/nmmhkkegccagdldgiimedpiccmgmiedagg4″ „https://www.facebook.com/business/tools/ads-manager“

„Това персонализирано разширение е умело прикрито като Google Translate и се счита за „разопаковано“, тъй като е заредено от локалния компютър, а не от уеб магазина на Chrome“, обяснява Жером Сегура, директор на отдела за разузнаване на заплахи в Malwarebytes, като отбелязва, че то е „изцяло фокусирано върху Facebook и прихваща важни части от информацията, които могат да позволят на нападателя да влезе в акаунти“.

Впоследствие заловените данни се изпращат, като се използва API на Google Analytics, за да се заобиколят политиките за сигурност на съдържанието (CSP), въведени за намаляване на атаките с кръстосани скриптове (XSS) и инжектиране на данни.

Предполага се, че извършителите на заплахите, които стоят зад тази дейност, са от виетнамски произход и през последните месеци проявяват подчертан интерес към бизнес и рекламни акаунти във Facebook. Засегнати са над 800 жертви по целия свят, като 310 от тях се намират в САЩ.

„Измамниците разполагат с много време и прекарват години в изучаване и разбиране на начините за злоупотреба със социалните медии и облачните платформи, където е постоянна надпревара за недопускане на лоши типове“, каза Сегура. „Не забравяйте, че няма сребърен куршум и всичко, което звучи твърде добре, за да е истина, може да се окаже прикрита измама.“

Източник: The Hacker News

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
Бъдете социални
Още по темата
04/12/2024

Домейните за разработчици н...

Домейните „pages.dev“ и „workers.dev“ на Cloudflare,...
03/12/2024

Прототипът на UEFI Bootkit ...

Откриването на прототип на UEFI bootkit,...
27/11/2024

Операция „Серенгети“: 1006 ...

Интерпол арестува 1006 заподозрени в Африка...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!