Une nouvelle souche de malware connue sous le nom de BundleBot a opéré furtivement sous le radar en profitant de Techniques de déploiement de fichier unique .NETpermettant aux acteurs de la menace de capturer des informations sensibles provenant d’hôtes compromis.
« BundleBot abuse du paquet dotnet (fichier unique), format autonome qui entraîne une détection statique très faible ou nulle », Check Point a dit dans un rapport publié cette semaine, ajoutant qu’il est « couramment distribué via des publicités Facebook et des comptes compromis menant à des sites Web se faisant passer pour des utilitaires de programmes réguliers, des outils d’IA et des jeux ».
Certains de ces sites Web visent à imiter Google Bard, le chatbot d’intelligence artificielle générative conversationnelle de l’entreprise, incitant les victimes à télécharger une fausse archive RAR (« Google_AI.rar ») hébergée sur des services de stockage en nuage légitimes tels que Dropbox.
Le fichier d’archive, une fois décompressé, contient un fichier exécutable (« GoogleAI.exe »), qui est l’application autonome à fichier unique .NET (« GoogleAI.exe ») qui, à son tour, incorpore un fichier DLL (« GoogleAI.dll »), dont la responsabilité est de récupérer une archive ZIP protégée par mot de passe à partir de Google Drive.
Le contenu extrait du fichier ZIP (« ADSNEW-1.0.0.3.zip ») est une autre application autonome à fichier unique .NET (« RiotClientServices.exe ») qui intègre la charge utile BundleBot (« RiotClientServices.dll ») et un sérialiseur de données de paquets de commande et de contrôle (C2) (« LirarySharing.dll »).
« L’assembly RiotClientServices.dll est un nouveau voleur/bot personnalisé qui utilise la bibliothèque LirarySharing.dll pour traiter et sérialiser les données de paquets qui sont envoyées à C2 dans le cadre de la communication du bot », a déclaré la société israélienne de cybersécurité.
Les artefacts binaires utilisent une obfuscation et un code indésirable sur mesure dans le but de résister à l’analyse, et sont dotés de capacités pour siphonner les données des navigateurs Web, capturer des captures d’écran, récupérer des jetons Discord, des informations de Telegram et des détails de compte Facebook.
Check Point a déclaré avoir également détecté un deuxième échantillon BundleBot qui est pratiquement identique à tous égards, à l’exception de l’utilisation de HTTPS pour exfiltrer les informations vers un serveur distant sous la forme d’une archive ZIP.
« La méthode de livraison via les publicités Facebook et les comptes compromis est quelque chose qui a été abusé par les acteurs de la menace pendant un certain temps, la combinant toujours avec l’une des capacités du logiciel malveillant révélé (pour voler les informations du compte Facebook d’une victime) pourrait servir de routine d’auto-alimentation délicate », a noté la société.
Le développement vient comme Malwarebytes découvert une nouvelle campagne qui utilise des publications sponsorisées et des comptes vérifiés compromis qui se font passer pour Facebook Ads Manager pour inciter les utilisateurs à télécharger des extensions Google Chrome malveillantes conçues pour voler les informations de connexion à Facebook.
Les utilisateurs qui cliquent sur le lien intégré sont invités à télécharger un fichier d’archive RAR contenant un fichier d’installation MSI qui, pour sa part, lance un script batch pour générer une nouvelle fenêtre Google Chrome avec l’extension malveillante chargée à l’aide du drapeau « –load-extension » –
démarrer chrome.exe –load-extension= »%~dp0/nmmhkkegccagdldgiimedpiccmgmiedagg4″ « https://www.facebook.com/business/tools/ads-manager »
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
« Cette extension personnalisée est intelligemment déguisée en Google Translate et est considérée comme » décompressée « car elle a été chargée à partir de l’ordinateur local, plutôt que du Chrome Web Store », a expliqué Jérôme Segura, directeur du renseignement sur les menaces chez Malwarebytes, notant qu’elle est « entièrement concentrée sur Facebook et récupère des informations importantes qui pourraient permettre à un attaquant de se connecter à des comptes ».
Les données capturées sont ensuite envoyées à l’aide de l’API Google Analytics pour contourner les politiques de sécurité du contenu (CSP) pour atténuer les attaques par script intersite (XSS) et par injection de données.
Les acteurs de la menace à l’origine de l’activité sont soupçonnés d’être d’origine vietnamienne, qui ont, ces derniers mois, manifesté un vif intérêt à cibler les comptes commerciaux et publicitaires de Facebook. Plus de 800 victimes dans le monde ont été touchées, dont 310 aux États-Unis
« Les fraudeurs ont beaucoup de temps libre et passent des années à étudier et à comprendre comment abuser des médias sociaux et des plates-formes cloud, où il s’agit d’une course aux armements constante pour empêcher les mauvais acteurs d’entrer », a déclaré Segura. « N’oubliez pas qu’il n’y a pas de solution miracle et que tout ce qui semble trop beau pour être vrai peut très bien être une arnaque déguisée. »