Усъвършенстваният BundleBot се маскира успешно

Picture of e-security.bg
e-security.bg
Aрхив | Зловреден код

Нов щам на зловреден софтуер, известен като BundleBot, работи скрито под радара, като се възползва от техниките за внедряване на единични файлове в .NET, което позволява на заплахите да събират чувствителна информация от компрометирани хостове.

„BundleBot злоупотребява с дотнет пакета (единичен файл), самодостатъчен формат, който води до много слабо или никакво статично откриване“, казва Check Point в доклад, публикуван тази седмица, като добавя, че той „обикновено се разпространява чрез реклами във Facebook и компрометирани акаунти, водещи до уебсайтове, маскирани като обикновени програмни инструменти, инструменти за изкуствен интелект и игри“.

Някои от тези уебсайтове имат за цел да имитират Google Bard, разговорния генеративен чатбот с изкуствен интелект на компанията, като подмамват жертвите да изтеглят фалшив RAR архив („Google_AI.rar“), хостван в легитимни услуги за съхранение в облак, като например Dropbox.

Когато архивният файл бъде разопакован, той съдържа изпълним файл („GoogleAI.exe“), който представлява самостоятелно приложение („GoogleAI.exe“) за .NET с един файл, което на свой ред включва DLL файл („GoogleAI.dll“), чиято отговорност е да изтегли защитен с парола ZIP архив от Google Drive.

Изтегленото съдържание на ZIP файла („ADSNEW-1.0.0.3.zip“) е друго .NET еднофайлово, самостоятелно приложение („RiotClientServices.exe“), което включва полезния товар на BundleBot („RiotClientServices.dll“) и сериализатор на данни за пакети с команди и управление (C2) („LirarySharing.dll“).

„Асемблито RiotClientServices.dll е персонализиран, нов крадец/бот, който използва библиотеката LirarySharing.dll за обработка и сериализиране на пакетните данни, които се изпращат към C2 като част от комуникацията на бота“, заяви израелската компания за киберсигурност.

Бинарните артефакти използват специално създадена обфускация и ненужен код в стремежа си да устоят на анализа и разполагат с възможности за извличане на данни от уеб браузъри, заснемане на скрийншоти, заграбване на токени от Discord, информация от Telegram и данни за акаунти във Facebook.

Check Point съобщи, че е открил и втори образец на BundleBot, който е почти идентичен във всички аспекти, с изключение на използването на HTTPS за екфилтриране на информация към отдалечен сървър под формата на ZIP архив.

Използването на примамките на Google Bard не бива да изненадва, като се има предвид, че популярността на такива инструменти за изкуствен интелект беше използвана от киберпрестъпниците през последните месеци, за да заблудят потребителите на платформи като Facebook да изтеглят несъзнателно различни зловредни програми за кражба на информация като Doenerium.

„Методът на доставяне чрез реклами във Facebook и компрометирани акаунти е нещо, с което се злоупотребява от заплахите от известно време, но все пак комбинирането му с една от възможностите на разкрития зловреден софтуер (да открадне информация от акаунта на жертвата във Facebook) може да послужи като хитра схема за самоподхранване“, отбелязват от компанията.

Развитието идва след като Malwarebytes разкри нова кампания, която използва спонсорирани публикации и компрометирани проверени акаунти, които се представят за Facebook Ads Manager, за да подтикнат потребителите да изтеглят измамни разширения за Google Chrome, предназначени за кражба на информация за вход във Facebook.

Потребителите, които щракват върху вградената връзка, са подканени да изтеглят архивен файл RAR, съдържащ инсталационен файл MSI, който от своя страна стартира пакетния скрипт за създаване на нов прозорец на Google Chrome със злонамереното разширение, заредено с помощта на флага „–load-extension“.

start chrome.exe –load-extension=“%~dp0/nmmhkkegccagdldgiimedpiccmgmiedagg4″ „https://www.facebook.com/business/tools/ads-manager“

„Това персонализирано разширение е умело прикрито като Google Translate и се счита за „разопаковано“, тъй като е заредено от локалния компютър, а не от уеб магазина на Chrome“, обяснява Жером Сегура, директор на отдела за разузнаване на заплахи в Malwarebytes, като отбелязва, че то е „изцяло фокусирано върху Facebook и прихваща важни части от информацията, които могат да позволят на нападателя да влезе в акаунти“.

Впоследствие заловените данни се изпращат, като се използва API на Google Analytics, за да се заобиколят политиките за сигурност на съдържанието (CSP), въведени за намаляване на атаките с кръстосани скриптове (XSS) и инжектиране на данни.

Предполага се, че извършителите на заплахите, които стоят зад тази дейност, са от виетнамски произход и през последните месеци проявяват подчертан интерес към бизнес и рекламни акаунти във Facebook. Засегнати са над 800 жертви по целия свят, като 310 от тях се намират в САЩ.

„Измамниците разполагат с много време и прекарват години в изучаване и разбиране на начините за злоупотреба със социалните медии и облачните платформи, където е постоянна надпревара за недопускане на лоши типове“, каза Сегура. „Не забравяйте, че няма сребърен куршум и всичко, което звучи твърде добре, за да е истина, може да се окаже прикрита измама.“

#зловреден код, # кражба на пароли, # пробиви в сигурността
The Hacker News

Подобни

NPM пакет се опитва да манипулира ИИ-базирани системи за сигурност
4.12.2025
ai
MuddyWater с нова тайна кампания MuddyViper
4.12.2025
iran-hackers
Кибер Коледа 2025 – киберсигурността като мултидисциплинарна екосистема
3.12.2025
thumbnail_e-sec-christmas
Cyber Christmas ’25 показа реалните рискове, които носим в джоба си
3.12.2025
янко
ShadyPanda - седемгодишна глобална кампания
2.12.2025
chinese-hacker-panda
Зловредно използване на легитимни Windows инструменти
2.12.2025
winbug

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Черният петък - реални сделки или маркетингов мираж?
27.11.2025
black_cat_Saro_o_Neal_Alamy
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.