Инфостилер BundleBot притворяется Google Bard и похищает данные пользователей Facebook*

Новый вид вредоносного ПО под названием BundleBot максимально скрытно функционирует в системе жертвы, используя техники однофайлового развёртывания .NET, которые позволяют злоумышленникам незаметно перехватывать конфиденциальную информацию с заражённых компьютеров.

Как сообщает компания Check Point в своём недавнем отчёте , «BundleBot злоупотребляет автономными однофайловыми пакетами .NET, которые приводят к очень низкому или отсутствующему уровню статического обнаружения».

Отмечается, что вредоносное ПО обычно распространяется через рекламные баннеры или посты со взломанных аккаунтов Facebook *, ведущие на различные сайты, предлагающие скачать и установить самые обыкновенные программы-утилиты, инструменты искусственного интеллекта, а также простенькие игры.

Некоторые из этих сайтов пытаются подражать Google Bard, генеративному чат-боту от Google, в связи с чем соблазняют жертв скачать вредоносный RAR-архив под названием «Google_AI.rar», размещённый на легитимных облачных хранилищах, таких как Dropbox.

Архивный файл содержит внутри себя исполняемый файл «GoogleAI.exe», который является однофайловым автономным приложением .NET. Этот файл содержит DLL-библиотеку под названием «GoogleAI.dll», отвечающую за скачивание защищённого паролем ZIP-архива с Google Диска злоумышленников.

Скачанный архив «ADSNEW-1.0.0.3.zip» содержит ещё одно однофайловое, самодостаточное приложение .NET с названием «RiotClientServices.exe», включающее в себя уже полезную нагрузку самого BundleBot («RiotClientServices.dll») и C2-сериализатор данных («LirarySharing.dll»).

Один из проанализированных экземпляров BundleBot использовал TCP-протокол для выгрузки данных прямо в лапы злоумышленников, однако специалисты Check Point также обнаружили и второй образец, использующий для этих целей уже HTTPS.

Бинарные артефакты используют собственную обфускацию и мусорный код в попытке противостоять анализу и имеют возможность выкачивать данные из веб-браузеров, делать скриншоты, получать Discord-токены, информацию из Telegram и данные аккаунтов Facebook.

«Метод доставки через рекламу в Facebook и заражённые аккаунты — это то, чем злоумышленники злоупотребляют уже давно, но сочетая это с возможностью похищения информации аккаунта Facebook жертвы, можно создать хитрую автономную схему», — отметили в Check Point.

Судя по всему, рассмотренная вредоносная операция являются частью более масштабной кампании, о которой мы рассказывали буквально вчера . Хакеры создали множество фишинговых ловушек на любой вкус и цвет, чтобы завоевать внимание своих жертв и заразить их компьютер опасным вредоносом.

* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.