Sofisticado software malicioso BundleBot disfrazado de Google AI Chatbot y utilidades


21 de julio de 2023THNAmenaza Cibernética / Malware

Una nueva variedad de malware conocida como PaqueteBot ha estado operando sigilosamente bajo el radar aprovechando Técnicas de implementación de un solo archivo .NETlo que permite a los actores de amenazas capturar información confidencial de hosts comprometidos.

“BundleBot está abusando del paquete dotnet (archivo único), formato autónomo que da como resultado una detección estática muy baja o nula”, Check Point dicho en un informe publicado esta semana, agrega que “comúnmente se distribuye a través de anuncios de Facebook y cuentas comprometidas que conducen a sitios web que se hacen pasar por utilidades de programas regulares, herramientas de inteligencia artificial y juegos”.

Algunos de estos sitios web tienen como objetivo imitar a Google Bard, el chatbot de inteligencia artificial generativa conversacional de la compañía, incitando a las víctimas a descargar un archivo RAR falso (“Google_AI.rar”) alojado en servicios legítimos de almacenamiento en la nube como Dropbox.

El archivo de almacenamiento, cuando se desempaqueta, contiene un archivo ejecutable (“GoogleAI.exe”), que es la aplicación autónoma de un solo archivo .NET (“GoogleAI.exe”) que, a su vez, incorpora un archivo DLL (“GoogleAI.dll”), cuya responsabilidad es obtener un archivo ZIP protegido con contraseña de Google Drive.

El contenido extraído del archivo ZIP (“ADSNEW-1.0.0.3.zip”) es otra aplicación independiente de archivo único .NET (“RiotClientServices.exe”) que incorpora la carga útil de BundleBot (“RiotClientServices.dll”) y un serializador de datos de paquetes de comando y control (C2) (“LirarySharing.dll”).

“El ensamblado RiotClientServices.dll es un nuevo ladrón/bot personalizado que utiliza la biblioteca LirarySharing.dll para procesar y serializar los datos del paquete que se envían a C2 como parte de la comunicación del bot”, dijo la compañía de ciberseguridad israelí.

Los artefactos binarios emplean ofuscación personalizada y código basura en un intento por resistir el análisis, y vienen con capacidades para desviar datos de navegadores web, capturar capturas de pantalla, obtener tokens de Discord, información de Telegram y detalles de cuentas de Facebook.

Check Point dijo que también detectó una segunda muestra de BundleBot que es prácticamente idéntica en todos los aspectos, salvo el uso de HTTPS para filtrar la información a un servidor remoto en forma de archivo ZIP.

“El método de entrega a través de los anuncios de Facebook y las cuentas comprometidas es algo de lo que los actores de amenazas han abusado durante un tiempo, aún combinándolo con una de las capacidades del malware revelado (robar la información de la cuenta de Facebook de una víctima) podría servir como una rutina complicada de autoalimentación”, señaló la compañía.

Google AI Chatbot y utilidades

El desarrollo llega como Malwarebytes descubierto una nueva campaña que emplea publicaciones patrocinadas y cuentas verificadas comprometidas que se hacen pasar por el administrador de anuncios de Facebook para atraer a los usuarios a que descarguen extensiones falsas de Google Chrome que están diseñadas para robar información de inicio de sesión de Facebook.

A los usuarios que hacen clic en el enlace incrustado se les solicita que descarguen un archivo RAR que contiene un archivo de instalación MSI que, por su parte, inicia un script por lotes para generar una nueva ventana de Google Chrome con la extensión maliciosa cargada usando el indicador “–load-extension” –

inicie chrome.exe –load-extension=”%~dp0/nmmhkkegccagdldgiimedpiccmgmiedagg4″ “https://www.facebook.com/business/tools/ads-manager”

PRÓXIMO SEMINARIO WEB

Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS

¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.

Únete hoy

“Esa extensión personalizada está hábilmente disfrazada como Google Translate y se considera ‘Desempaquetada’ porque se cargó desde la computadora local, en lugar de Chrome Web Store”, explicó Jérôme Segura, director de inteligencia de amenazas en Malwarebytes, y señaló que está “totalmente enfocada en Facebook y en obtener información importante que podría permitir que un atacante inicie sesión en las cuentas”.

Los datos capturados se envían posteriormente mediante la API de Google Analytics para sortear las políticas de seguridad de contenido (CSP) para mitigar los ataques de secuencias de comandos entre sitios (XSS) y de inyección de datos.

Se sospecha que los actores de amenazas detrás de la actividad son de origen vietnamita, quienes, en los últimos meses, han mostrado un gran interés en apuntar a las cuentas comerciales y publicitarias de Facebook. Más de 800 víctimas en todo el mundo se han visto afectadas, 310 de ellas ubicadas en los EE. UU.

“Los estafadores tienen mucho tiempo libre y pasan años estudiando y entendiendo cómo abusar de las redes sociales y las plataformas en la nube, donde es una carrera armamentista constante para mantener alejados a los malos”, dijo Segura. “Recuerde que no existe una bala de plata y cualquier cosa que suene demasiado bueno para ser verdad puede muy bien ser una estafa disfrazada”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57