Ένα νέο στέλεχος κακόβουλου λογισμικού με την ονομασία BundleBot λειτουργεί εκμεταλλευόμενο τις τεχνικές ανάπτυξης ενός αρχείου .NET και επιτρέποντας στους απειλητικούς φορείς να κλέβουν ευαίσθητες πληροφορίες από μολυσμένους υπολογιστές.
Δείτε επίσης: Roblox: Προηγούμενη παραβίαση δεδομένων εξέθεσε στοιχεία 4000 χρηστών
Ορισμένοι από αυτούς τους ιστότοπους στοχεύουν να μιμηθούν το Google Assistant, το ρομπότ τεχνητής νοημοσύνης της εταιρείας, παρασύροντας τα θύματα να κατεβάσουν ένα ψεύτικο αρχείο RAR (“Google_AI.rar”) που φιλοξενείται σε νόμιμες υπηρεσίες αποθήκευσης cloud, όπως το Dropbox.
Το αρχείο αρχειοθέτησης, όταν αποσυμπιέζεται, περιέχει ένα εκτελέσιμο αρχείο (“GoogleAI.exe”), το οποίο είναι μια αυτοτελής εφαρμογή .NET ενός αρχείου, η οποία, με τη σειρά της, ενσωματώνει ένα αρχείο DLL (“GoogleAI.dll”) που είναι υπεύθυνο για την ανάκτηση ενός αρχείου ZIP προστατευμένου με κωδικό πρόσβασης από το Google Drive.
Δείτε επίσης: Εντοπίστηκαν δύο κρίσιμες ευπάθειες AMI MegaRAC
Το περιεχόμενο του αρχείου ZIP (“ADSNEW-1.0.0.3.zip”) που εξάγεται είναι μια άλλη αυτοτελής εφαρμογή .NET ενός αρχείου (“RiotClientServices.exe”) που ενσωματώνει το payload BundleBot (“RiotClientServices.dll”) και έναν serializer δεδομένων πακέτων εντολών και ελέγχου (C2) (“LibrarySharing.dll”).
Τα binary artifacts χρησιμοποιούν ειδικά κατασκευασμένο obfuscation και junk code σε μια προσπάθεια να αντισταθούν στην ανάλυση και διαθέτουν δυνατότητες για την απόσπαση δεδομένων από προγράμματα περιήγησης στο διαδίκτυο, τη λήψη screenshot, την κλοπή Discord token, πληροφοριών από το Telegram και στοιχείων λογαριασμού στο Facebook.
Η Check Point ανέφερε ότι εντόπισε και ένα δεύτερο δείγμα BundleBot που είναι σχεδόν πανομοιότυπο σε όλες τις πτυχές, εκτός από τη χρήση του HTTPS για τη διαρροή των πληροφοριών σε έναν απομακρυσμένο server με τη μορφή αρχείου ZIP.
Η εξέλιξη αυτή έρχεται καθώς η Malwarebytes αποκάλυψε μια νέα εκστρατεία που χρησιμοποιεί χορηγούμενες αναρτήσεις και έχει παραβιάσει επαληθευμένους λογαριασμούς, οι οποίοι υποδύονται τον Facebook Ads Manager για να παρασύρουν τους χρήστες να κατεβάσουν αθέμιτες επεκτάσεις του Google Chrome που έχουν σχεδιαστεί για να υποκλέψουν πληροφορίες σύνδεσης στο Facebook.
Οι χρήστες που κάνουν κλικ στον ενσωματωμένο σύνδεσμο καλούνται να κατεβάσουν ένα αρχείο αρχειοθέτησης RAR που περιέχει ένα αρχείο εγκατάστασης MSI το οποίο, με τη σειρά του, εκκινεί ένα batch script για τη δημιουργία ενός νέου παραθύρου του Google Chrome με την κακόβουλη επέκταση που φορτώνεται χρησιμοποιώντας το flag “–load-extension”.
Τα δεδομένα που συλλαμβάνονται αποστέλλονται στη συνέχεια μέσω του API του Google Analytics για να παρακάμψουν τις πολιτικές ασφαλείας περιεχομένου (CSPs) για τον μετριασμό των επιθέσεων Cross-Site Scripting (XSS) και data injection.
Δείτε επίσης: Mallox ransomware εκμεταλλεύεται αδύναμους MS-SQL servers για να παραβιάσει δίκτυα
Οι απειλητικοί παράγοντες πίσω από τη δραστηριότητα πιθανολογείται ότι είναι βιετναμέζικης καταγωγής και έχουν επιδείξει έντονο ενδιαφέρον για τη στόχευση επιχειρηματικών και διαφημιστικών λογαριασμών στο Facebook τους τελευταίους μήνες. Πάνω από 800 θύματα παγκοσμίως, συμπεριλαμβανομένων 310 στις ΗΠΑ, έχουν επηρεαστεί.
Πηγή πληροφοριών: thehackernews.com
