Software malicioso BundleBot
Una variante de malware amenazante llamada BundleBot ha estado operando de forma encubierta, evadiendo la detección al aprovechar las técnicas de implementación de un solo archivo de .NET. Este método permite a los actores de amenazas capturar información confidencial de hosts comprometidos de forma sigilosa.
BundleBot es conocido por explotar el formato autónomo dotnet bundle (archivo único), lo que dificulta la detección de los sistemas de seguridad. Esto da como resultado una detección estática muy baja o incluso nula, lo que permite que el malware permanezca sin ser detectado durante períodos prolongados en los dispositivos comprometidos.
Según los hallazgos de los expertos en seguridad cibernética, la distribución de BundleBot comúnmente ocurre a través de anuncios de Facebook y cuentas comprometidas, lo que lleva a los usuarios desprevenidos a sitios web que se hacen pasar por utilidades de programas regulares, herramientas de IA y juegos. Una vez que los usuarios acceden a estos sitios web engañosos, sin saberlo, desencadenan la descarga y ejecución del malware, poniendo en riesgo sus sistemas y datos confidenciales.
Tabla de contenido
Los ciberdelincuentes aprovechan las populares herramientas de IA como señuelos de phishing
Los sitios web conectados a los ataques de BundleBot Malware han adoptado la táctica de imitar a Google Bard, un prominente chatbot de IA generativo conversacional desarrollado por la empresa. Estos sitios web engañosos atraen a las víctimas desprevenidas al ofrecer un enlace de descarga aparentemente tentador para un archivo RAR llamado 'Google_AI.rar'. En particular, estos archivos fraudulentos están alojados en servicios legítimos de almacenamiento en la nube como Dropbox.
El uso de Google Bard como señuelo no es algo nuevo, considerando la creciente popularidad de las herramientas de IA. Los ciberdelincuentes se han aprovechado de esta tendencia en los últimos meses para engañar a los usuarios, especialmente en plataformas como Facebook. Emplean esta estrategia para distribuir sigilosamente varios tipos de malware que recopila información, como el notorio Doenerium .
La distribución de estos enlaces inseguros a menudo ocurre a través de anuncios de Facebook y cuentas de usuarios comprometidas. Este método ha sido explotado persistentemente por los actores de amenazas durante algún tiempo. Al combinar esta táctica de distribución con la capacidad del malware para sustraer la información de la cuenta de Facebook de la víctima, los ciberdelincuentes crean un ciclo autosuficiente que alimenta sus actividades dañinas.
La cadena de infección de la amenaza de malware BundleBot
Al descomprimir el archivo 'Google_AI.rar', los usuarios encontrarán un archivo ejecutable llamado 'GoogleAI.exe', que es una aplicación independiente de un solo archivo .NET. A su vez, esta aplicación incorpora un archivo DLL llamado 'GoogleAI.dll', responsable de obtener un archivo ZIP protegido con contraseña de Google Drive.
En la siguiente etapa, los contenidos extraídos del archivo ZIP llamado 'ADSNEW-1.0.0.3.zip' revelan otra aplicación autónoma de archivo único .NET conocida como 'RiotClientServices.exe'. Esta aplicación lleva la carga útil de BundleBot 'RiotClientServices.dll', así como un serializador de datos de paquetes de comando y control (C2) llamado 'LirarySharing.dll'.
Una vez activado, el software malicioso BundleBot funciona como un ladrón/bot personalizado y novedoso. Utiliza la biblioteca 'LirarySharing.dll' para procesar y serializar los datos del paquete transmitidos durante la comunicación del bot con el servidor C2. Para evadir el análisis, los artefactos binarios utilizan técnicas de ofuscación personalizadas e incluyen una cantidad significativa de código basura.
El malware BundleBot tiene funcionalidades intrusivas amenazantes
Las capacidades del malware son alarmantes. Puede extraer sigilosamente datos de navegadores web, capturar capturas de pantalla, adquirir tokens de Discord, recopilar información de Telegram y recolectar detalles de cuentas de Facebook. El malware funciona como un bot sofisticado que roba datos, comprometiendo información confidencial de varias fuentes sin el conocimiento del usuario.
Curiosamente, hay una segunda muestra de BundleBot, casi idéntica en todos los aspectos excepto por una diferencia clave. Esta variante aprovecha HTTPS para filtrar la información robada a un servidor remoto. Los datos robados se filtran como un archivo ZIP, lo que permite a los atacantes transferir discretamente la información de la víctima sin levantar sospechas.
