Una nueva cepa de malware conocida como BundleBot ha estado operando sigilosamente bajo el radar aprovechando las técnicas de implementación de un solo archivo de .NET , lo que permite a los actores de amenazas capturar información confidencial de los hosts comprometidos.
«BundleBot está abusando del paquete dotnet (archivo único), formato autónomo que da como resultado una detección estática muy baja o nula», dijo Check Point en un informe publicado esta semana, y agregó que «comúnmente se distribuye a través de anuncios de Facebook y cuentas comprometidas que conducen a sitios web disfrazados de utilidades de programas regulares, herramientas de IA y juegos » .
Algunos de estos sitios web tienen como objetivo imitar a Google Bard, el chatbot de inteligencia artificial generativa conversacional de la compañía, incitando a las víctimas a descargar un archivo RAR falso («Google_AI.rar») alojado en servicios legítimos de almacenamiento en la nube como Dropbox.
El archivo de almacenamiento, cuando se desempaqueta, contiene un archivo ejecutable («GoogleAI.exe»), que es la aplicación autónoma de un solo archivo .NET («GoogleAI.exe») que, a su vez, incorpora un archivo DLL («GoogleAI.dll»), cuya responsabilidad es obtener un archivo ZIP protegido con contraseña de Google Drive.
El contenido extraído del archivo ZIP («ADSNEW-1.0.0.3.zip») es otra aplicación independiente de archivo único .NET («RiotClientServices.exe») que incorpora la carga útil de BundleBot («RiotClientServices.dll») y un serializador de datos de paquetes de comando y control (C2) («LirarySharing.dll»).
«El ensamblado RiotClientServices.dll es un nuevo ladrón/bot personalizado que utiliza la biblioteca LirarySharing.dll para procesar y serializar los datos del paquete que se envían a C2 como parte de la comunicación del bot», dijo la compañía de ciberseguridad israelí.
Los artefactos binarios emplean ofuscación personalizada y código basura en un intento por resistir el análisis, y vienen con capacidades para desviar datos de navegadores web, capturar capturas de pantalla, obtener tokens de Discord, información de Telegram y detalles de cuentas de Facebook.
Check Point dijo que también detectó una segunda muestra de BundleBot que es prácticamente idéntica en todos los aspectos, salvo el uso de HTTPS para filtrar la información a un servidor remoto en forma de archivo ZIP.
«El método de entrega a través de los anuncios de Facebook y las cuentas comprometidas es algo de lo que los actores de amenazas han abusado durante un tiempo, aún combinándolo con una de las capacidades del malware revelado (robar la información de la cuenta de Facebook de una víctima) podría servir como una rutina complicada de autoalimentación», señaló la compañía.
El desarrollo se produce cuando Malwarebytes descubrió una nueva campaña que emplea publicaciones patrocinadas y cuentas verificadas comprometidas que se hacen pasar por Facebook Ads Manager para atraer a los usuarios a descargar extensiones de Google Chrome no autorizadas que están diseñadas para robar información de inicio de sesión de Facebook.
A los usuarios que hacen clic en el enlace incrustado se les solicita que descarguen un archivo RAR que contiene un archivo de instalación MSI que, por su parte, inicia un script por lotes para generar una nueva ventana de Google Chrome con la extensión maliciosa cargada usando el indicador «–load-extension « –
inicie chrome.exe –load-extension=»%~dp0/nmmhkkegccagdldgiimedpiccmgmiedagg4″ «https://www.facebook.com/business/tools/ads-manager»
«Esa extensión personalizada está ingeniosamente disfrazada como Google Translate y se considera ‘Desempaquetada’ porque se cargó desde la computadora local, en lugar de Chrome Web Store», explicó Jérôme Segura, director de inteligencia de amenazas en Malwarebytes, y señaló que está «totalmente enfocada en Facebook y en obtener información importante que podría permitir que un atacante inicie sesión en las cuentas».
Los datos capturados se envían posteriormente mediante la API de Google Analytics para sortear las políticas de seguridad de contenido ( CSP ) para mitigar los ataques de secuencias de comandos entre sitios (XSS) y de inyección de datos.
Se sospecha que los actores de amenazas detrás de la actividad son de origen vietnamita, quienes, en los últimos meses, han mostrado un gran interés en apuntar a las cuentas comerciales y publicitarias de Facebook. Más de 800 víctimas en todo el mundo se han visto afectadas, 310 de ellas ubicadas en los EE. UU.
«Los estafadores tienen mucho tiempo libre y pasan años estudiando y entendiendo cómo abusar de las redes sociales y las plataformas en la nube, donde es una carrera armamentista constante para mantener alejados a los malos», dijo Segura. «Recuerde que no existe una bala de plata y cualquier cosa que suene demasiado bueno para ser verdad puede muy bien ser una estafa disfrazada».
Fuente y redacción: thehackernews.com
