Търсене
Close this search box.

Усъвършенстваният BundleBot се маскира успешно

Нов щам на зловреден софтуер, известен като BundleBot, работи скрито под радара, като се възползва от техниките за внедряване на единични файлове в .NET, което позволява на заплахите да събират чувствителна информация от компрометирани хостове.

„BundleBot злоупотребява с дотнет пакета (единичен файл), самодостатъчен формат, който води до много слабо или никакво статично откриване“, казва Check Point в доклад, публикуван тази седмица, като добавя, че той „обикновено се разпространява чрез реклами във Facebook и компрометирани акаунти, водещи до уебсайтове, маскирани като обикновени програмни инструменти, инструменти за изкуствен интелект и игри“.

Някои от тези уебсайтове имат за цел да имитират Google Bard, разговорния генеративен чатбот с изкуствен интелект на компанията, като подмамват жертвите да изтеглят фалшив RAR архив („Google_AI.rar“), хостван в легитимни услуги за съхранение в облак, като например Dropbox.

Когато архивният файл бъде разопакован, той съдържа изпълним файл („GoogleAI.exe“), който представлява самостоятелно приложение („GoogleAI.exe“) за .NET с един файл, което на свой ред включва DLL файл („GoogleAI.dll“), чиято отговорност е да изтегли защитен с парола ZIP архив от Google Drive.

Изтегленото съдържание на ZIP файла („ADSNEW-1.0.0.3.zip“) е друго .NET еднофайлово, самостоятелно приложение („RiotClientServices.exe“), което включва полезния товар на BundleBot („RiotClientServices.dll“) и сериализатор на данни за пакети с команди и управление (C2) („LirarySharing.dll“).

„Асемблито RiotClientServices.dll е персонализиран, нов крадец/бот, който използва библиотеката LirarySharing.dll за обработка и сериализиране на пакетните данни, които се изпращат към C2 като част от комуникацията на бота“, заяви израелската компания за киберсигурност.

Бинарните артефакти използват специално създадена обфускация и ненужен код в стремежа си да устоят на анализа и разполагат с възможности за извличане на данни от уеб браузъри, заснемане на скрийншоти, заграбване на токени от Discord, информация от Telegram и данни за акаунти във Facebook.

Check Point съобщи, че е открил и втори образец на BundleBot, който е почти идентичен във всички аспекти, с изключение на използването на HTTPS за екфилтриране на информация към отдалечен сървър под формата на ZIP архив.

Използването на примамките на Google Bard не бива да изненадва, като се има предвид, че популярността на такива инструменти за изкуствен интелект беше използвана от киберпрестъпниците през последните месеци, за да заблудят потребителите на платформи като Facebook да изтеглят несъзнателно различни зловредни програми за кражба на информация като Doenerium.

„Методът на доставяне чрез реклами във Facebook и компрометирани акаунти е нещо, с което се злоупотребява от заплахите от известно време, но все пак комбинирането му с една от възможностите на разкрития зловреден софтуер (да открадне информация от акаунта на жертвата във Facebook) може да послужи като хитра схема за самоподхранване“, отбелязват от компанията.

Развитието идва след като Malwarebytes разкри нова кампания, която използва спонсорирани публикации и компрометирани проверени акаунти, които се представят за Facebook Ads Manager, за да подтикнат потребителите да изтеглят измамни разширения за Google Chrome, предназначени за кражба на информация за вход във Facebook.

Потребителите, които щракват върху вградената връзка, са подканени да изтеглят архивен файл RAR, съдържащ инсталационен файл MSI, който от своя страна стартира пакетния скрипт за създаване на нов прозорец на Google Chrome със злонамереното разширение, заредено с помощта на флага „–load-extension“.

start chrome.exe –load-extension=“%~dp0/nmmhkkegccagdldgiimedpiccmgmiedagg4″ „https://www.facebook.com/business/tools/ads-manager“

„Това персонализирано разширение е умело прикрито като Google Translate и се счита за „разопаковано“, тъй като е заредено от локалния компютър, а не от уеб магазина на Chrome“, обяснява Жером Сегура, директор на отдела за разузнаване на заплахи в Malwarebytes, като отбелязва, че то е „изцяло фокусирано върху Facebook и прихваща важни части от информацията, които могат да позволят на нападателя да влезе в акаунти“.

Впоследствие заловените данни се изпращат, като се използва API на Google Analytics, за да се заобиколят политиките за сигурност на съдържанието (CSP), въведени за намаляване на атаките с кръстосани скриптове (XSS) и инжектиране на данни.

Предполага се, че извършителите на заплахите, които стоят зад тази дейност, са от виетнамски произход и през последните месеци проявяват подчертан интерес към бизнес и рекламни акаунти във Facebook. Засегнати са над 800 жертви по целия свят, като 310 от тях се намират в САЩ.

„Измамниците разполагат с много време и прекарват години в изучаване и разбиране на начините за злоупотреба със социалните медии и облачните платформи, където е постоянна надпревара за недопускане на лоши типове“, каза Сегура. „Не забравяйте, че няма сребърен куршум и всичко, което звучи твърде добре, за да е истина, може да се окаже прикрита измама.“

Източник: The Hacker News

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
Бъдете социални
Още по темата
06/06/2024

Сериозна грешка в Atlassian...

Поради ролята, която Confluence Server играе...
01/06/2024

Приложение за генериране на...

Gipy – новооткрита кампания, използваща щам...
31/05/2024

Okta отново предупреждава з...

Този път мишена на недоброжелателите е...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!