24/07/23
Новый вид вредоносного ПО под названием BundleBot максимально скрытно функционирует в системе жертвы, используя техники однофайлового развёртывания .NET, которые позволяют злоумышленникам незаметно перехватывать конфиденциальную информацию с заражённых компьютеров. Об этом пишет Securitylab.
Как сообщает компания Check Point в своём недавнем отчёте, «BundleBot злоупотребляет автономными однофайловыми пакетами .NET, которые приводят к очень низкому или отсутствующему уровню статического обнаружения».
Отмечается, что вредоносное ПО обычно распространяется через рекламные баннеры или посты со взломанных аккаунтов Facebook *, ведущие на различные сайты, предлагающие скачать и установить самые обыкновенные программы-утилиты, инструменты искусственного интеллекта, а также простенькие игры.
Некоторые из этих сайтов пытаются подражать Google Bard, генеративному чат-боту от Google, в связи с чем соблазняют жертв скачать вредоносный RAR-архив под названием «Google_AI.rar», размещённый на легитимных облачных хранилищах, таких как Dropbox.
Архивный файл содержит внутри себя исполняемый файл «GoogleAI.exe», который является однофайловым автономным приложением .NET. Этот файл содержит DLL-библиотеку под названием «GoogleAI.dll», отвечающую за скачивание защищённого паролем ZIP-архива с Google Диска злоумышленников.
Скачанный архив «ADSNEW-1.0.0.3.zip» содержит ещё одно однофайловое, самодостаточное приложение .NET с названием «RiotClientServices.exe», включающее в себя уже полезную нагрузку самого BundleBot («RiotClientServices.dll») и C2-сериализатор данных («LirarySharing.dll»).
Один из проанализированных экземпляров BundleBot использовал TCP-протокол для выгрузки данных прямо в лапы злоумышленников, однако специалисты Check Point также обнаружили и второй образец, использующий для этих целей уже HTTPS.
Бинарные артефакты используют собственную обфускацию и мусорный код в попытке противостоять анализу и имеют возможность выкачивать данные из веб-браузеров, делать скриншоты, получать Discord-токены, информацию из Telegram и данные аккаунтов Facebook.
«Метод доставки через рекламу в Facebook и заражённые аккаунты — это то, чем злоумышленники злоупотребляют уже давно, но сочетая это с возможностью похищения информации аккаунта Facebook жертвы, можно создать хитрую автономную схему», — отметили в Check Point.
