olarak bilinen yeni bir kötü amaçlı yazılım türüdür. paket robotu yararlanarak gizlice radar altında çalışıyor .NET tek dosya dağıtım teknikleritehdit aktörlerinin güvenliği ihlal edilmiş ana bilgisayarlardan hassas bilgileri yakalamasını sağlar.
“BundleBot, dotnet paketini (tek dosya), çok düşük statik algılamayla veya hiç statik algılamayla sonuçlanmayan kendi kendine yeten biçimi kötüye kullanıyor”, Check Point söz konusu Bu hafta yayınlanan bir raporda, “genellikle Facebook Reklamları ve güvenliği ihlal edilmiş hesaplar aracılığıyla dağıtıldığını ve bu da normal program yardımcı programları, yapay zeka araçları ve oyunlar kılığına giren web sitelerine yol açtığını” ekliyor.
Bu web sitelerinden bazıları, şirketin sohbet üretken yapay zeka sohbet robotu Google Bard’ı taklit ederek kurbanları Dropbox gibi meşru bulut depolama hizmetlerinde barındırılan sahte bir RAR arşivi (“Google_AI.rar”) indirmeye ikna etmeyi amaçlıyor.
Arşiv dosyası, paketten çıkarıldığında, sorumluluğu Google Drive’dan parola korumalı bir ZIP arşivi getirmek olan bir DLL dosyası (“GoogleAI.dll”) içeren .NET tek dosyalı, kendi kendine yeten uygulaması (“GoogleAI.exe”) olan yürütülebilir bir dosya (“GoogleAI.exe”) içerir.
ZIP dosyasının (“ADSNEW-1.0.0.3.zip”) ayıklanan içeriği, BundleBot yükünü (“RiotClientServices.dll”) ve bir komut ve kontrol (C2) paket veri serileştiricisini (“LirarySharing.dll”) içeren başka bir .NET tek dosyalı, bağımsız uygulamadır (“RiotClientServices.exe”).
İsrailli siber güvenlik şirketi, “RiotClientServices.dll derlemesi, bot iletişiminin bir parçası olarak C2’ye gönderilen paket verilerini işlemek ve seri hale getirmek için LirarySharing.dll kitaplığını kullanan özel, yeni bir hırsız/bot.” dedi.
İkili eserler, analize direnmek için özel yapım karartma ve gereksiz kod kullanır ve web tarayıcılarından verileri sifonlama, ekran görüntüleri yakalama, Discord jetonlarını, Telegram’dan bilgileri ve Facebook hesap ayrıntılarını alma yetenekleriyle birlikte gelir.
Check Point ayrıca, bilgileri bir ZIP arşivi biçiminde uzak bir sunucuya sızdırmak için HTTPS kullanımını engelleyen, her yönüyle neredeyse aynı olan ikinci bir BundleBot örneği tespit ettiğini söyledi.
Şirket, “Facebook Reklamları ve güvenliği ihlal edilmiş hesaplar aracılığıyla teslim etme yöntemi, bir süredir tehdit aktörleri tarafından kötüye kullanılan bir yöntemdir, ancak yine de bunu ortaya çıkan kötü amaçlı yazılımın (kurbanın Facebook hesap bilgilerini çalma) yeteneklerinden biriyle birleştirmek, hileli bir kendi kendini besleme rutini işlevi görebilir” dedi.
Geliştirme Malwarebytes olarak geliyor açıkta Facebook giriş bilgilerini çalmak için tasarlanmış hileli Google Chrome uzantılarını indirmeye teşvik etmek için Facebook Reklam Yöneticisi’nin kimliğine bürünen sponsorlu gönderiler ve güvenliği ihlal edilmiş doğrulanmış hesaplar kullanan yeni bir kampanya.
Gömülü bağlantıyı tıklayan kullanıcılardan, kendi adına, “–load-extension” bayrağı kullanılarak yüklenen kötü amaçlı uzantıyla yeni bir Google Chrome penceresi oluşturmak için bir toplu komut dosyası başlatan bir MSI yükleyici dosyası içeren bir RAR arşiv dosyasını indirmeleri istenir –
chrome.exe –load-extension=”%~dp0/nmmhkkegccagdldgiimedpiccmgmiedagg4″ “https://www.facebook.com/business/tools/ads-manager” uygulamasını başlatın
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Malwarebytes’in tehdit istihbaratı direktörü Jérôme Segura, “Bu özel uzantı akıllıca Google Translate kılığına girmiş ve Chrome Web Mağazası yerine yerel bilgisayardan yüklendiği için ‘Paketlenmemiş’ kabul ediliyor,” dedi ve “tamamen Facebook’a odaklandığını ve bir saldırganın hesaplara giriş yapmasına olanak verebilecek önemli bilgileri ele geçirdiğini” belirtti.
Yakalanan veriler daha sonra içerik güvenlik politikalarını aşmak için Google Analytics API kullanılarak gönderilir (CSP’ler) siteler arası betik çalıştırma (XSS) ve veri enjeksiyon saldırılarını azaltmak için.
Faaliyetin arkasındaki tehdit aktörlerinin, son aylarda Facebook iş ve reklam hesaplarını hedef almaya büyük ilgi gösteren Vietnam kökenli olduğundan şüpheleniliyor. Dünya çapında 800’den fazla kurban etkilendi ve bunların 310’u ABD’de bulunuyor.
Segura, “Dolandırıcıların ellerinde çok zaman var ve kötü aktörleri dışarıda tutmanın sürekli bir silahlanma yarışı olduğu sosyal medyayı ve bulut platformlarını nasıl kötüye kullanacaklarını anlamak ve çalışmak için yıllarını harcıyorlar” dedi. “Sihirli bir kurşun olmadığını ve kulağa gerçek olamayacak kadar iyi gelen her şeyin kılık değiştirmiş bir dolandırıcılık olabileceğini unutmayın.”