Le malware sophistiqué BundleBot déguisé en chatbot Google AI et en utilitaires : comment l’éviter

BundleBot, un nouveau malware, a été repéré en train d’exploiter les techniques de déploiement .NET single-file pour voler des informations sensibles sur les hôtes compromis.

« BundleBot abuse le format dotnet bundle (fichier unique), autonome et auto-suffisant, ce qui donne lieu à très peu, voire pas du tout, de détection statique », a déclaré Check Point dans un rapport publié cette semaine. Selon l’entreprise de cybersécurité israélienne, ce malware est « communément distribué via des publicités Facebook et des comptes compromis menant vers des sites imitant des applications et des jeux courants ».

Certains de ces sites web se font passer pour Google Bard, le chatbot génératif conversationnel d’intelligence artificielle de Google, incitant les victimes à télécharger une archive RAR fausse (« Google_AI.rar ») hébergée sur des services de stockage en nuage légitimes tels que Dropbox.

Lorsque l’archive est décompressée, elle contient un fichier exécutable (« GoogleAI.exe »), qui est une application .NET autonome et auto-suffisante (« GoogleAI.exe ») qui intègre à son tour un fichier DLL (« GoogleAI.dll »). Ce dernier a pour mission de récupérer une archive ZIP protégée par mot de passe sur Google Drive.

Le contenu extrait du fichier ZIP (« ADSNEW-1.0.0.3.zip ») est une autre application .NET autonome et auto-suffisante (« RiotClientServices.exe ») qui intègre le payload BundleBot (« RiotClientServices.dll ») et un sérialiseur de données C2 (contrôle et commande) (« LirarySharing.dll »).

« Le module RiotClientServices.dll est un nouveau bot/stealer personnalisé qui utilise la bibliothèque LirarySharing.dll pour traiter et sérialiser les donnés du paquet envoyés au C2 en tant que partie de la communication du bot », a expliqué l’entreprise de cyberscéurité israëlienne Check Point dans son rapport publiè é cette semaine..

Les artefacts binaires employés comportent une obfuscation personnalisée et du code inutile afin de résister à l’analyse, ainsi que des capacités pour siphonner les donnés des navigateurs web, faire des captures d’ecran, récupérrer les jetons Discord et Telegram, ainsi que les coordonnés Facebook..

The threat actors behind the activity are suspected to be of Vietnamese origin, who have, in recent months, exhibited acute interest in targeting Facebook business and advertising accounts.

Over 800 victims worldwide have been impacted, with 310 of those located in the U.S.

« Fraudsters have a lot of time on their hands and spend years studying and understanding how to abuse social media and cloud platforms, where it is a constant arm’s race to keep bad actors out, » Segura said. « Remember that there is no silver bullet and anything that sounds too good to be true may very well be a scam in disguise. »

Sign up for free and start receiving your daily dose of cybersecurity news, insights and tips.

Vous avez trouvé cet article intérréssant ? Suivez-nous sur les réseaux afin de ne rien rater !