Una nueva cepa de malware conocida como BundleBot ha estado operando sigilosamente bajo el radar, aprovechando las técnicas de despliegue de archivos únicos de .NET. Esto permite a los actores de amenazas capturar información sensible de los hosts comprometidos. «BundleBot está abusando del formato de paquete dotnet (archivo único), autocontenido, que resulta en una detección estática muy baja o nula», dijo Check Point en un informe publicado esta semana.
Este malware se distribuye comúnmente a través de anuncios de Facebook y cuentas comprometidas que llevan a sitios web que se hacen pasar por utilidades de programas regulares, herramientas de IA y juegos. Algunos de estos sitios web intentan imitar a Google Bard, el chatbot de inteligencia artificial generativa conversacional de la compañía, atrayendo a las víctimas para que descarguen un archivo RAR falso («Google_AI.rar») alojado en servicios legítimos de almacenamiento en la nube como Dropbox.
El archivo de archivo, al desempaquetarse, contiene un archivo ejecutable («GoogleAI.exe»), que es la aplicación autocontenida de .NET de archivo único («GoogleAI.exe») que, a su vez, incorpora un archivo DLL («GoogleAI.dll»). Este archivo es responsable de obtener un archivo ZIP protegido con contraseña de Google Drive.
El contenido extraído del archivo ZIP («ADSNEW-1.0.0.3.zip») es otra aplicación autocontenida de .NET de archivo único («RiotClientServices.exe») que incorpora la carga útil de BundleBot («RiotClientServices.dll») y un serializador de datos de paquete de comando y control (C2) («LirarySharing.dll»). «La asamblea RiotClientServices.dll es un nuevo ladrón/bot personalizado que utiliza la biblioteca LirarySharing.dll para procesar y serializar los datos de paquete que se envían a C2 como parte de la comunicación del bot», dijo la compañía de ciberseguridad israelí.
Los artefactos binarios emplean ofuscación personalizada y código basura en un intento de resistir el análisis, y vienen con capacidades para extraer datos de los navegadores web, capturar capturas de pantalla, obtener tokens de Discord, información de Telegram y detalles de cuentas de Facebook.
Check Point dijo que también detectó una segunda muestra de BundleBot que es prácticamente idéntica en todos los aspectos, excepto que utiliza HTTPS para exfiltrar la información a un servidor remoto en forma de un archivo ZIP. «El método de entrega a través de anuncios de Facebook y cuentas comprometidas es algo que ha sido abusado por los actores de amenazas durante un tiempo, aún combinándolo con una de las capacidades del malware revelado (para robar la información de la cuenta de Facebook de una víctima) podría servir como una rutina de autoalimentación complicada», señaló la compañía.
Este desarrollo se produce mientras Malwarebytes descubrió una nueva campaña que emplea publicaciones patrocinadas y cuentas verificadas comprometidas que se hacen pasar por el Administrador de Anuncios de Facebook para atraer a los usuarios a descargar extensiones maliciosas de Google Chrome diseñadas para robar información de inicio de sesión de Facebook.
Los usuarios que hacen clic en el enlace incrustado son instados a descargar un archivo de archivo RAR que contiene un archivo de instalación MSI que, a su vez, lanza un script por lotes para abrir una nueva ventana de Google Chrome con la extensión maliciosa cargada usando la bandera «–load-extension».
«Esa extensión personalizada está inteligentemente disfrazada como Google Translate y se considera ‘Desempaquetada’ porque se cargó desde la computadora local, en lugar de la Chrome Web Store», explicó Jérôme Segura, director de inteligencia de amenazas en Malwarebytes. Notó que está «completamente enfocado en Facebook y captura piezas importantes de información que podrían permitir a un atacante iniciar sesión en cuentas».
Los datos capturados se envían posteriormente utilizando la API de Google Analytics para sortear las políticas de seguridad de contenido (CSPs) para mitigar los ataques de inyección de datos y cross-site scripting (XSS). Se sospecha que los actores de amenazas detrás de la actividad son de origen vietnamita, quienes, en los últimos meses, han mostrado un interés agudo en atacar cuentas de negocios y publicidad de Facebook. Más de 800 víctimas en todo el mundo se han visto afectadas, con 310 de ellas ubicadas en los EE. UU.
«Los estafadores tienen mucho tiempo en sus manos y pasan años estudiando y entendiendo cómo abusar de las redes sociales y las plataformas en la nube, donde es una constante carrera armamentista para mantener a los malos actores fuera», dijo Segura. «Recuerda que no hay una bala de plata y cualquier cosa que suene demasiado buena para ser verdad puede ser una estafa disfrazada.»
