Logiciel malveillant BundleBot
Une variante de malware menaçante appelée BundleBot a opéré secrètement, échappant à la détection en tirant parti des techniques de déploiement de fichier unique .NET. Cette méthode permet aux acteurs de la menace de capturer furtivement des informations sensibles provenant d'hôtes compromis.
BundleBot est connu pour exploiter le format autonome du bundle dotnet (fichier unique), ce qui le rend difficile à détecter pour les systèmes de sécurité. Cela se traduit par une détection statique très faible, voire nulle, permettant au logiciel malveillant de rester non détecté pendant de longues périodes sur les appareils compromis.
Selon les conclusions des experts en cybersécurité, la distribution de BundleBot se produit généralement via des publicités Facebook et des comptes compromis, conduisant les utilisateurs sans méfiance vers des sites Web qui se font passer pour des utilitaires de programmes réguliers, des outils d'IA et des jeux. Une fois que les utilisateurs accèdent à ces sites Web trompeurs, ils déclenchent sans le savoir le téléchargement et l'exécution du logiciel malveillant, mettant leurs systèmes et leurs données sensibles en danger.
Table des matières
Les cybercriminels profitent des outils d'IA populaires comme leurres de phishing
Les sites Web connectés aux attaques de BundleBot Malware ont adopté la tactique consistant à imiter Google Bard, un important chatbot d'IA conversationnel génératif développé par la société. Ces sites Web trompeurs attirent des victimes sans méfiance en offrant un lien de téléchargement apparemment attrayant pour une archive RAR nommée "Google_AI.rar". Notamment, ces archives frauduleuses sont hébergées sur des services de stockage cloud légitimes comme Dropbox.
L'utilisation de Google Bard comme leurre n'est pas quelque chose de nouveau, compte tenu de la popularité croissante des outils d'IA. Les cybercriminels ont profité de cette tendance ces derniers mois pour tromper les utilisateurs, notamment sur des plateformes comme Facebook. Ils utilisent cette stratégie pour distribuer furtivement divers types de logiciels malveillants de collecte d'informations, tels que le notoire Doenerium .
La distribution de ces liens dangereux se produit souvent via des publicités Facebook et des comptes d'utilisateurs compromis. Cette méthode est exploitée de manière persistante par les acteurs de la menace depuis un certain temps. En combinant cette tactique de distribution avec la capacité du logiciel malveillant à voler les informations du compte Facebook d'une victime, les cybercriminels créent un cycle auto-entretenu qui alimente leurs activités nuisibles.
La chaîne d'infection de la menace de logiciels malveillants BundleBot
Lors de la décompression de l'archive "Google_AI.rar", les utilisateurs trouveront un fichier exécutable nommé "GoogleAI.exe", qui est une application autonome à fichier unique .NET. À son tour, cette application intègre en outre un fichier DLL appelé "GoogleAI.dll", responsable de la récupération d'une archive ZIP protégée par mot de passe à partir de Google Drive.
À l'étape suivante, le contenu extrait du fichier ZIP appelé "ADSNEW-1.0.0.3.zip" révèle une autre application autonome à fichier unique .NET appelée "RiotClientServices.exe". Cette application contient la charge utile BundleBot "RiotClientServices.dll", ainsi qu'un sérialiseur de données de paquets Command-and-Control (C2) nommé "LirarySharing.dll".
Une fois activé, le BundleBot Malware fonctionne comme un voleur/bot personnalisé et nouveau. Il utilise la bibliothèque « LirarySharing.dll » pour traiter et sérialiser les données de paquets transmises lors de la communication du bot avec le serveur C2. Pour échapper à l'analyse, les artefacts binaires utilisent des techniques d'obfuscation personnalisées et incluent une quantité importante de code indésirable.
Le logiciel malveillant BundleBot a des fonctionnalités intrusives menaçantes
Les capacités du malware sont alarmantes. Il peut extraire furtivement des données des navigateurs Web, capturer des captures d'écran, acquérir des jetons Discord, collecter des informations à partir de Telegram et récolter les détails du compte Facebook. Le logiciel malveillant fonctionne comme un bot voleur de données sophistiqué, compromettant des informations sensibles provenant de diverses sources à l'insu de l'utilisateur.
Fait intéressant, il existe un deuxième échantillon de BundleBot, presque identique à tous égards, à l'exception d'une différence clé. Cette variante exploite HTTPS pour exfiltrer les informations volées vers un serveur distant. Les données volées sont exfiltrées sous forme d'archive ZIP, permettant aux attaquants de transférer discrètement les informations de la victime sans éveiller les soupçons.
