BundleBot-Malware
Eine bedrohliche Malware-Variante namens BundleBot operiert im Verborgenen und entgeht der Entdeckung durch den Einsatz von .NET-Einzeldatei-Bereitstellungstechniken. Mit dieser Methode können Bedrohungsakteure heimlich vertrauliche Informationen von kompromittierten Hosts erfassen.
BundleBot ist dafür bekannt, das in sich geschlossene Dotnet-Bundle-Format (Einzeldatei) auszunutzen, was die Erkennung für Sicherheitssysteme schwierig macht. Dies führt zu einer sehr geringen oder gar keiner statischen Erkennung, sodass die Malware über längere Zeiträume auf den gefährdeten Geräten unentdeckt bleibt.
Den Erkenntnissen von Cybersicherheitsexperten zufolge erfolgt die Verbreitung von BundleBot häufig über Facebook-Werbung und kompromittierte Konten und führt ahnungslose Benutzer zu Websites, die sich als normale Programm-Dienstprogramme, KI-Tools und Spiele ausgeben. Sobald Benutzer auf diese betrügerischen Websites zugreifen, lösen sie unwissentlich den Download und die Ausführung der Malware aus und gefährden so ihre Systeme und sensiblen Daten.
Inhaltsverzeichnis
Cyberkriminelle nutzen beliebte KI-Tools als Phishing-Köder
Die mit den BundleBot-Malware-Angriffen in Verbindung stehenden Websites haben die Taktik übernommen, Google Bard zu imitieren, einen bekannten, vom Unternehmen entwickelten generativen KI-Chatbot für Konversationen. Diese betrügerischen Websites locken ahnungslose Opfer an, indem sie einen scheinbar verlockenden Download-Link für ein RAR-Archiv namens „Google_AI.rar“ anbieten. Bemerkenswert ist, dass diese betrügerischen Archive auf legitimen Cloud-Speicherdiensten wie Dropbox gehostet werden.
Der Einsatz von Google Bard als Lockmittel ist angesichts der zunehmenden Beliebtheit von KI-Tools nichts Neues. Cyberkriminelle haben diesen Trend in den letzten Monaten ausgenutzt, um Nutzer zu täuschen, insbesondere auf Plattformen wie Facebook. Sie nutzen diese Strategie, um heimlich verschiedene Arten von Schadsoftware zum Sammeln von Informationen zu verbreiten, beispielsweise das berüchtigte Doenerium .
Die Verbreitung dieser unsicheren Links erfolgt häufig über Facebook-Werbung und kompromittierte Benutzerkonten. Diese Methode wird seit einiger Zeit von Bedrohungsakteuren hartnäckig ausgenutzt. Durch die Kombination dieser Verbreitungstaktik mit der Fähigkeit der Malware, die Facebook-Kontoinformationen eines Opfers zu stehlen, schaffen Cyberkriminelle einen sich selbst erhaltenden Kreislauf, der ihre schädlichen Aktivitäten fördert.
Die Infektionskette der BundleBot-Malware-Bedrohung
Beim Entpacken des Archivs „Google_AI.rar“ finden Benutzer eine ausführbare Datei mit dem Namen „GoogleAI.exe“, bei der es sich um eine eigenständige .NET-Einzeldateianwendung handelt. Diese Anwendung wiederum enthält außerdem eine DLL-Datei namens „GoogleAI.dll“, die für das Abrufen eines passwortgeschützten ZIP-Archivs von Google Drive verantwortlich ist.
Im nächsten Schritt enthüllen die aus der ZIP-Datei namens „ADSNEW-1.0.0.3.zip“ extrahierten Inhalte eine weitere eigenständige .NET-Einzeldateianwendung namens „RiotClientServices.exe“. Diese Anwendung enthält die BundleBot-Nutzlast „RiotClientServices.dll“ sowie einen Command-and-Control (C2)-Paketdaten-Serialisierungsprogramm namens „LirarySharing.dll“.
Nach der Aktivierung fungiert die BundleBot-Malware als benutzerdefinierter und neuartiger Stealer/Bot. Es nutzt die Bibliothek „LirarySharing.dll“, um die Paketdaten zu verarbeiten und zu serialisieren, die während der Kommunikation des Bots mit dem C2-Server übertragen werden. Um einer Analyse zu entgehen, nutzen die binären Artefakte maßgeschneiderte Verschleierungstechniken und enthalten eine erhebliche Menge Junk-Code.
Die BundleBot-Malware verfügt über bedrohliche, aufdringliche Funktionen
Die Fähigkeiten der Malware sind alarmierend. Es kann heimlich Daten aus Webbrowsern extrahieren, Screenshots erfassen, Discord-Token erwerben, Informationen von Telegram sammeln und Facebook-Kontodaten sammeln. Die Malware fungiert als hochentwickelter Datendiebstahl-Bot, der ohne Wissen des Benutzers vertrauliche Informationen aus verschiedenen Quellen kompromittiert.
Interessanterweise gibt es ein zweites Beispiel von BundleBot, das bis auf einen wesentlichen Unterschied in allen Aspekten nahezu identisch ist. Diese Variante nutzt HTTPS, um die gestohlenen Informationen an einen Remote-Server zu exfiltrieren. Die gestohlenen Daten werden als ZIP-Archiv herausgefiltert, sodass die Angreifer die Informationen des Opfers diskret übertragen können, ohne Verdacht zu erregen.
