Una nueva cepa de malware conocida como BundleBot ha estado operando sigilosamente bajo el radar aprovechando las técnicas de implementación de archivos únicos de .NET, lo que permite a los actores de amenazas capturar información confidencial de hosts comprometidos.
«BundleBot está abusando del paquete dotnet (archivo único), formato autónomo que resulta en una detección estática muy baja o nula», dijo Check Point en un informe publicado esta semana, y agregó que «se distribuye comúnmente a través de anuncios de Facebook y cuentas comprometidas que conducen a sitios web enmascarados como utilidades regulares del programa, herramientas de inteligencia artificial y juegos».
Algunos de estos sitios web tienen como objetivo imitar a Google Bard, el chatbot de inteligencia artificial generativa conversacional de la compañía, atrayendo a las víctimas a descargar un archivo RAR falso («Google_AI.rar») alojado en servicios legítimos de almacenamiento en la nube como Dropbox.
El archivo de almacenamiento, cuando se descomprime, contiene un archivo ejecutable («GoogleAI.exe»), que es la aplicación autónoma de archivo único de .NET («GoogleAI.exe») que, a su vez, incorpora un archivo DLL («GoogleAI.dll»), cuya responsabilidad es obtener un archivo ZIP protegido por contraseña de Google Drive.
El contenido extraído del archivo ZIP («ADSNEW-1.0.0.3.zip») es otra aplicación autónoma de archivo único de .NET («RiotClientServices.exe») que incorpora la carga útil BundleBot («RiotClientServices.dll») y un serializador de datos de paquetes de comando y control (C2) («LirarySharing.dll»).
«El ensamblaje RiotClientServices.dll es un nuevo ladrón / bot personalizado que utiliza la biblioteca LirarySharing.dll para procesar y serializar los datos de paquetes que se envían a C2 como parte de la comunicación del bot», dijo la compañía israelí de ciberseguridad.
Los artefactos binarios emplean ofuscación personalizada y código basura en un intento por resistir el análisis, y vienen con capacidades para desviar datos de navegadores web, capturar capturas de pantalla, obtener tokens de Discord, información de Telegram y detalles de la cuenta de Facebook.
Check Point dijo que también detectó una segunda muestra de BundleBot que es prácticamente idéntica en todos los aspectos, excepto el uso de HTTPS para filtrar la información a un servidor remoto en forma de archivo ZIP.
«El método de entrega a través de Facebook Ads y cuentas comprometidas es algo de lo que han abusado los actores de amenazas durante un tiempo, aún combinándolo con una de las capacidades del malware revelado (para robar la información de la cuenta de Facebook de una víctima) podría servir como una rutina de autoalimentación complicada», señaló la compañía.
El desarrollo se produce cuando Malwarebytes descubrió una nueva campaña que emplea publicaciones patrocinadas y cuentas verificadas comprometidas que se hacen pasar por Facebook Ads Manager para atraer a los usuarios a descargar extensiones deshonestas de Google Chrome que están diseñadas para robar información de inicio de sesión de Facebook.
A los usuarios que hacen clic en el enlace incrustado se les pide que descarguen un archivo de almacenamiento RAR que contiene un archivo de instalación MSI que, por su parte, lanza un script por lotes para generar una nueva ventana de Google Chrome con la extensión maliciosa cargada usando el indicador «–load-extension» –
Iniciar Chrome.exe –load-extension=»%~dp0/nmmhkkegccagdldgiimedpiccmgmiedagg4″ «No tienes permitido ver los links. Registrarse o Entrar a mi cuenta»
«Esa extensión personalizada está hábilmente disfrazada como Google Translate y se considera ‘Desempaquetada’ porque se cargó desde la computadora local, en lugar de Chrome Web Store», explicó Jérôme Segura, director de inteligencia de amenazas de Malwarebytes, señalando que está «completamente enfocada en Facebook y en obtener información importante que podría permitir a un atacante iniciar sesión en las cuentas».
Los datos capturados se envían posteriormente utilizando la API de Google Analytics para sortear las políticas de seguridad de contenido (CSP) para mitigar los scripts entre sitios (XSS) y los ataques de inyección de datos.
Se sospecha que los actores de amenazas detrás de la actividad son de origen vietnamita, quienes, en los últimos meses, han mostrado un gran interés en apuntar a las cuentas comerciales y publicitarias de Facebook. Más de 800 víctimas en todo el mundo se han visto afectadas, con 310 de ellas ubicadas en los Estados Unidos.
«Los estafadores tienen mucho tiempo en sus manos y pasan años estudiando y entendiendo cómo abusar de las redes sociales y las plataformas en la nube, donde es una carrera constante para mantener alejados a los malos actores», dijo Segura. «Recuerde que no hay una bala de plata y cualquier cosa que suene demasiado buena para ser verdad puede muy bien ser una estafa disfrazada».
Fuente y redacción: underc0de.org
