22.07.2023 | Инфостилер BundleBot притворяется Google Bard и похищает данные пользователей Facebook* |
Новый вид вредоносного ПО под названием BundleBot максимально скрытно функционирует в системе жертвы, используя техники однофайлового развёртывания .NET , которые позволяют злоумышленникам незаметно перехватывать конфиденциальную информацию с заражённых компьютеров. Как сообщает компания Check Point в своём недавнем отчёте , «BundleBot злоупотребляет автономными однофайловыми пакетами .NET, которые приводят к очень низкому или отсутствующему уровню статического обнаружения». Отмечается, что вредоносное ПО обычно распространяется через рекламные баннеры или посты со взломанных аккаунтов Facebook *, ведущие на различные сайты, предлагающие скачать и установить самые обыкновенные программы-утилиты, инструменты искусственного интеллекта, а также простенькие игры. Некоторые из этих сайтов пытаются подражать Google Bard , генеративному чат-боту от Google, в связи с чем соблазняют жертв скачать вредоносный RAR-архив под названием «Google_AI.rar», размещённый на легитимных облачных хранилищах, таких как Dropbox.
Архивный файл содержит внутри себя исполняемый файл «GoogleAI.exe», который является однофайловым автономным приложением .NET. Этот файл содержит DLL -библиотеку под названием «GoogleAI.dll», отвечающую за скачивание защищённого паролем ZIP-архива с Google Диска злоумышленников. Скачанный архив «ADSNEW-1.0.0.3.zip» содержит ещё одно однофайловое, самодостаточное приложение .NET с названием «RiotClientServices.exe», включающее в себя уже полезную нагрузку самого BundleBot («RiotClientServices.dll») и C2 -сериализатор данных («LirarySharing.dll»). Один из проанализированных экземпляров BundleBot использовал TCP -протокол для выгрузки данных прямо в лапы злоумышленников, однако специалисты Check Point также обнаружили и второй образец, использующий для этих целей уже HTTPS . Бинарные артефакты используют собственную обфускацию и мусорный код в попытке противостоять анализу и имеют возможность выкачивать данные из веб-браузеров, делать скриншоты, получать Discord -токены, информацию из Telegram и данные аккаунтов Facebook. «Метод доставки через рекламу в Facebook и заражённые аккаунты — это то, чем злоумышленники злоупотребляют уже давно, но сочетая это с возможностью похищения информации аккаунта Facebook жертвы, можно создать хитрую автономную схему», — отметили в Check Point. Судя по всему, рассмотренная вредоносная операция являются частью более масштабной кампании, о которой мы рассказывали буквально вчера . Хакеры создали множество фишинговых ловушек на любой вкус и цвет, чтобы завоевать внимание своих жертв и заразить их компьютер опасным вредоносом. * Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ. |
Проверить безопасность сайта