El sofisticado software malicioso BundleBot se disfraza de Google AI Chatbot y otras utilidades
El sofisticado software malicioso BundleBot se disfraza de Google AI Chatbot y otras utilidades
Una nueva variante de malware conocida como BundleBot ha estado operando de manera sigilosa aprovechando técnicas de despliegue de archivos únicos de .NET, lo que permite a los actores de amenazas capturar información sensible de los dispositivos comprometidos.
Algunos de estos sitios web buscan imitar a Google Bard, el chatbot de inteligencia artificial generativa y conversacional de la compañía, con el objetivo de atraer a las víctimas para que descarguen un archivo RAR falso («Google_AI.rar») alojado en servicios de almacenamiento en la nube legítimos como Dropbox.
Una vez que se desempaqueta el archivo, se encuentra un archivo ejecutable («GoogleAI.exe»), que es la aplicación .NET de archivo único y autónomo («GoogleAI.exe») que, a su vez, incorpora un archivo DLL («GoogleAI.dll»), el cual se encarga de obtener un archivo ZIP protegido con contraseña desde Google Drive.
El contenido extraído del archivo ZIP («ADSNEW-1.0.0.3.zip») es otra aplicación .NET de archivo único y autónomo («RiotClientServices.exe») que contiene la carga útil de BundleBot («RiotClientServices.dll») y un serializador de datos de paquetes para el control y comando (C2) («LibrarySharing.dll»).
El fabricante RiotClientServices.dll es un malware personalizado y nuevo tipo RAT que utiliza la biblioteca LirarySharing.dll para procesar y serializar los datos de paquetes que se envían al servidor de control y comando (C2) como parte de la comunicación del malware, según informó la compañía israelí de ciberseguridad.
Los artefactos binarios emplean técnicas de ofuscación y código basura personalizado para resistir el análisis, y cuentan con capacidades para extraer datos de navegadores web, capturar capturas de pantalla, obtener tokens de Discord, información de Telegram y detalles de cuentas de Facebook.
Check Point también descubrió una segunda muestra de BundleBot que es virtualmente idéntica en todos los aspectos, excepto que utiliza HTTPS para exfiltrar la información a un servidor remoto en forma de un archivo ZIP.
El uso de señuelos relacionados con Google Bard no debería sorprender, dado que los cibercriminales han estado aprovechando la popularidad de este tipo de herramientas de inteligencia artificial para engañar a los usuarios en plataformas como Facebook y hacer que descarguen malware que roba información, como Doenerium, sin que ellos lo sepan.
Este desarrollo se produce después de que Malwarebytes descubriera una nueva campaña que utiliza publicaciones patrocinadas y cuentas verificadas comprometidas que se hacen pasar por el Administrador de Anuncios de Facebook para atraer a los usuarios a descargar extensiones falsas de Google Chrome diseñadas para robar información de inicio de sesión de Facebook.
Los usuarios que hacen clic en el enlace incrustado son dirigidos a descargar un archivo RAR que contiene un archivo instalador MSI que, a su vez, inicia un script por lotes para abrir una nueva ventana de Google Chrome con la extensión maliciosa cargada utilizando la bandera «–load-extension».
Los datos capturados se envían posteriormente utilizando la API de Google Analytics para evitar las políticas de seguridad de contenido (CSP) implementadas para mitigar los ataques de scripting entre sitios (XSS) y de inyección de datos.
Se sospecha que los actores detrás de esta actividad son de origen vietnamita, quienes han mostrado un agudo interés en los últimos meses en apuntar a cuentas de negocios y publicidad de Facebook. Más de 800 víctimas en todo el mundo han sido afectadas, 310 de ellas ubicadas en los Estados Unidos.