Malware BundleBot Sofisticado Disfarçado como Google AI Chatbot e Utilitários

Uma nova variedade de malware conhecida como BundleBot tem operado furtivamente sob o radar, aproveitando as técnicas de implantação de arquivo único .NET , permitindo que os agentes de ameaças capturem informações confidenciais de hosts comprometidos.

“O BundleBot está abusando do pacote dotnet (arquivo único), formato independente que resulta em detecção muito baixa ou nenhuma detecção estática”, disse a Check Point em um relatório publicado esta semana, acrescentando que é “comumente distribuído por meio de anúncios do Facebook e contas comprometidas que levam a sites disfarçados de utilitários de programas regulares, ferramentas de IA e jogos ” .

Alguns desses sites visam imitar o Google Bard, o chatbot de inteligência artificial gerador de conversação da empresa, induzindo as vítimas a baixar um arquivo RAR falso (“Google_AI.rar”) hospedado em serviços legítimos de armazenamento em nuvem, como o Dropbox.

O arquivo compactado, quando descompactado, contém um arquivo executável (“GoogleAI.exe”), que é o aplicativo autônomo de arquivo único .NET (“GoogleAI.exe”) que, por sua vez, incorpora um arquivo DLL (“GoogleAI.dll”), cuja responsabilidade é buscar um arquivo ZIP protegido por senha do Google Drive.

O conteúdo extraído do arquivo ZIP (“ADSNEW-1.0.0.3.zip”) é outro aplicativo independente de arquivo único .NET (“RiotClientServices.exe”) que incorpora a carga útil do BundleBot (“RiotClientServices.dll”) e um serializador de dados de pacote de comando e controle (C2) (“LirarySharing.dll”).

“O assembly RiotClientServices.dll é um novo ladrão/bot personalizado que usa a biblioteca LirarySharing.dll para processar e serializar os dados do pacote que estão sendo enviados para C2 como parte da comunicação do bot”, disse a empresa de segurança cibernética israelense.

Os artefatos binários empregam ofuscação personalizada e código indesejado em uma tentativa de resistir à análise e vêm com recursos para extrair dados de navegadores da web, capturar capturas de tela, obter tokens do Discord, informações do Telegram e detalhes da conta do Facebook.

A Check Point disse que também detectou uma segunda amostra de BundleBot que é virtualmente idêntica em todos os aspectos, exceto o uso de HTTPS para exfiltrar as informações para um servidor remoto na forma de um arquivo ZIP.

“O método de entrega por meio de anúncios do Facebook e contas comprometidas é algo que foi abusado por agentes de ameaças por um tempo, ainda combinando-o com um dos recursos do malware revelado (para roubar as informações da conta do Facebook da vítima) pode servir como uma rotina complicada de autoalimentação”, observou a empresa.

O desenvolvimento ocorre quando o Malwarebytes descobriu uma nova campanha que emprega postagens patrocinadas e contas verificadas comprometidas que representam o Facebook Ads Manager para induzir os usuários a baixar extensões desonestas do Google Chrome, projetadas para roubar informações de login do Facebook.

Os usuários que clicam no link incorporado são solicitados a baixar um arquivo RAR contendo um arquivo de instalação MSI que, por sua vez, inicia um script em lote para gerar uma nova janela do Google Chrome com a extensão maliciosa carregada usando o sinalizador “–load-extension “ –

start chrome.exe –load-extension=”%~dp0/nmmhkkegccagdldgiimedpiccmgmiedagg4″ “https://www.facebook.com/business/tools/ads-manager”

“Essa extensão personalizada é habilmente disfarçada de Google Tradutor e é considerada ‘Descompactada’ porque foi carregada do computador local, e não da Chrome Web Store”, explicou Jérôme Segura, diretor de inteligência de ameaças da Malwarebytes, observando que é “inteiramente focado no Facebook e na captura de informações importantes que podem permitir que um invasor faça login nas contas”.
Os dados capturados são posteriormente enviados usando a 
API do Google Analytics para contornar as políticas de segurança de conteúdo ( 
CSPs ) para mitigar scripts entre sites (XSS) e ataques de injeção de dados.
Suspeita-se que os agentes de ameaças por trás da atividade sejam de origem vietnamita, que, nos últimos meses, 
demonstraram grande interesse em segmentar contas comerciais e de publicidade do Facebook. 
Mais de 800 vítimas em todo o mundo foram impactadas, com 310 delas localizadas nos EUA
“Os fraudadores têm muito tempo disponível e passam anos estudando e entendendo como abusar das mídias sociais e plataformas de nuvem, onde é uma corrida armada constante para manter os maus atores afastados”, disse Segura. 
“Lembre-se de que não existe bala de prata e qualquer coisa que pareça boa demais para ser verdade pode muito bem ser uma farsa disfarçada.”