Новости Сложный вредонос BundleBot маскируется под чат-бот Google Bard

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.110
Репутация
11.695
Реакции
61.894
RUB
50
Новому семейству вредоносных программ под именем BundleBot удавалось незаметно атаковать жертв, используя особенности техники развертывания с одним файлом.


BundleBot помогает операторам извлекать конфиденциальные данные из скомпрометированных хостов. Новый вредонос описали в одном из своих недавних отчетов специалисты Check Point: «BundleBot использует технику развертывания с одним файлом, подразумевающую объединение всех зависящих от приложения файлов в один двоичный.

Такой формат приводит либо к очень редким срабатываниям, либо вообще к отсутствию статического детектирования».

48AJY79fj0JYkNVSm-meE7lJbsJRL_EQAcCDyMVuDaVyckXF420V_BcdrUkb0XKn6NuMdwz8yz8qXXyiqbvs0aeUzRfu2soGWTWV0qu5v8ZteH8H8WogtCQFEogQHpilMcGSV8QLx09Qqt-L3yTiZ70KPQY4v12-ShoaVG5-WyKjgxoyeo2uYG7T95NYqv2kW7lfVSOrMwLnJLFtcnn-ErJi8Of0CZdfECicOY0mYRWPu_r16TxMyIrrOVU9jJkhYbAoAGq_LXNd8-RyKpj-lvvrv2awKKEyZsXRTYK7zXDTE3FWdGk1H-LJ7yttNgB1j_uJ9Hiv7Up6KMnmXg5IUZCReCLZLg2x7sBXgJg53LcJGf4WY_szUwW2wV8AORzg8EPip_Y7Jz9DegyYbsQgBc54-vYL_CzaKOt45N7uSFLi4JsweB-vEv6w5-N7CZ-GODt-pMDKoLDFhJPdg_oO85Ci4xV0CMTOM1pPq86GUxTNeqiHOr7OysrrGyaOn7kTIlC4YGk839GvYCXzKgidV_rpftbRWhDytUbBPSA679BRorN3FLgE7xJ4DahvNrHE3wt6ZBlOHwp7CFvU3D9rcpDxCmJLLg6jHXB0AAkovzRo60-mYslx0jdHMR3zyDwQ0bBANnboVQ_i6m66n6ZD55w5OuXpDr66yFkJ1w6828EA0Khg2L0-gk0SBTL7iRwUyOuuFcL7AXAnBMFO0prf8qIQAMfFONWso3n_OSwX8JXv-WvUWn3-KztrGFdMP2tCkLJY8Br-PlJfciVTGikOp8qor3Th-tLAlDSSjPIp3CKzINDExNl3rCEanAt8d9P3fnr4RlsOzvh76WjljB3o4aLCOpL6z42TnOJWw3uITPU52D6mIYpx4-RWwq4gCG1hc0ABZaSJVwxQa__LLkbh9Iw7KGRrzowqeBgpp538CzPj0Cpi2qwPEb8j15M6m_9Wa8n_VuCrgzHmlJFc8


«Как правило, в кампании фигурируют вредоносные веб-сайты, на которых якобы можно скачать утилиты, ИИ-инструменты и игры». Некоторые из таких веб-сайтов пытаются замаскироваться под Google Bard, чат-бот корпорации, основанный на искусственном интеллекте.

Жертву обманом заставляют скачать архив «Google_AI.rar», размещенный на легитимном облачном хранилище вроде Dropbox. После распаковки RAR-архив копирует в систему исполняемый файл («GoogleAI.exe»), содержащий библиотеку «GoogleAI.dll». Задача последнего — скачать защищенный паролем архив в формате ZIP из Google Drive.
Далее извлекается ещё один ZIP-архив — «ADSNEW-1.0.0.3.zip», в котором лежит исполняемый файл RiotClientServices.exe. Уже он содержит пейлоад BundleBot — RiotClientServices.dll, а также библиотеку для обработки пакетных данных командного сервера — LirarySharing.dll.

«Библиотека RiotClientServices.dll представляет собой кастомный вредонос, использующий LirarySharing.dll для обработки отправляемых на C2 данных. Авторы задействовали собственную обфускацию и мусорный код, чтобы затруднить анализ», — объясняют исследователи.

Попав в систему, BundleBot может извлекать данные из веб-браузеров, снимать скриншоты, воровать токены Discord и данные телеграм-аккаунтов. По словам экспертов Check Point, им также удалось обнаружить другой семпл BundleBot, который отличается использованием HTTPS при получении информации с удаленного сервера.

 
Сверху Снизу