Una nueva cepa de malware conocida como BundleBot ha estado operando sigilosamente bajo el radar al aprovechar las técnicas de implementación de archivos únicos de .NET, lo que permite a los actores de amenazas capturar información confidencial de equipos comprometidos.
"BundleBot está abusando del formato de paquete dotnet (archivo único), autónomo, lo que resulta en una detección estática muy baja o nula", afirmó Check Point en un informe publicado esta semana. Además, añadió que "comúnmente se distribuye a través de anuncios en Facebook y cuentas comprometidas que llevan a sitios web que se hacen pasar por utilidades de programas regulares, herramientas de inteligencia artificial y juegos".
Algunos de estos sitios web tienen como objetivo imitar a Google Bard, el chatbot de inteligencia artificial generativa de la empresa, para atraer a las vÃctimas a descargar un archivo RAR falso ("Google_AI.rar") alojado en servicios legÃtimos de almacenamiento en la nube, como Dropbox. Cuando se descomprime el archivo, se encuentra un archivo ejecutable ("GoogleAI.exe"), que es una aplicación autónoma de archivo único de .NET ("GoogleAI.exe") que, a su vez, incorpora un archivo DLL ("GoogleAI.dll"), cuya función es obtener un archivo ZIP protegido por contraseña desde Google Drive.
El contenido extraÃdo del archivo ZIP ("ADSNEW-1.0.0.3.zip") es otra aplicación autónoma de archivo único de .NET ("RiotClientServices.exe") que incorpora la carga útil de BundleBot ("RiotClientServices.dll") y un serializador de datos de paquetes de comando y control (C2) ("LirarySharing.dll"). "El ensamblaje RiotClientServices.dll es un stealer/bot personalizado y nuevo que utiliza la biblioteca LirarySharing.dll para procesar y serializar los datos de paquetes que se envÃan al C2 como parte de la comunicación del bot", afirmó la empresa de ciberseguridad israelÃ.
Los artefactos binarios emplean técnicas de ofuscación y código basura personalizados para resistir el análisis, y cuentan con capacidades para extraer datos de navegadores web, capturar capturas de pantalla, obtener tokens de Discord, información de Telegram y detalles de cuentas de Facebook.
Check Point también detectó una segunda muestra de BundleBot que es virtualmente idéntica en todos los aspectos, excepto por el uso de HTTPS para extraer la información a un servidor remoto en forma de un archivo ZIP. El uso de señuelos de Google Bard no deberÃa ser una sorpresa, dado que la popularidad de estas herramientas de inteligencia artificial ha sido aprovechada por los ciberdelincuentes en los últimos meses para engañar a los usuarios en plataformas como Facebook para que descarguen malware de robo de información, como Doenerium.
"El método de entrega a través de anuncios en Facebook y cuentas comprometidas es algo que ha sido abusado por actores de amenazas durante un tiempo, pero combinarlo con una de las capacidades del malware revelado (robar información de la cuenta de Facebook de la vÃctima) podrÃa servir como una rutina astuta de autoalimentación", señaló la empresa.
Este desarrollo se produce cuando Malwarebytes descubrió una nueva campaña que utiliza publicaciones patrocinadas y cuentas verificadas comprometidas que se hacen pasar por el Administrador de Anuncios de Facebook para engañar a los usuarios para que descarguen extensiones de Google Chrome falsas diseñadas para robar información de inicio de sesión de Facebook.
Los usuarios que hacen clic en el enlace incrustado son dirigidos a descargar un archivo de archivo RAR que contiene un archivo instalador MSI que, a su vez, ejecuta un script por lotes para abrir una nueva ventana de Google Chrome con la extensión maliciosa cargada usando la bandera "--load-extension".
start chrome.exe --load-extension="%~dp0/nmmhkkegccagdldgiimedpiccmgmiedagg4" "https://www.facebook.com/business/tools/ads-manager"
"Esa extensión personalizada está ingeniosamente disfrazada como Google Translate y se considera 'no empaquetada' porque se cargó desde la computadora local, en lugar de la Tienda Web de Chrome", explicó Jérôme Segura, director de inteligencia de amenazas de Malwarebytes, señalando que está "completamente enfocada en Facebook y en obtener información importante que podrÃa permitir que un atacante acceda a cuentas".
Los datos capturados se envÃan posteriormente utilizando la API de Google Analytics para sortear las polÃticas de seguridad de contenido (CSP) implementadas para mitigar ataques de scripting entre sitios (XSS) e inyección de datos. Se sospecha que los actores de amenazas detrás de esta actividad tienen origen vietnamita y han mostrado un gran interés en atacar cuentas comerciales y de publicidad de Facebook en los últimos meses. Se han visto afectadas más de 800 vÃctimas en todo el mundo, con 310 de ellas ubicadas en Estados Unidos.
"Los estafadores tienen mucho tiempo en sus manos y pasan años estudiando y comprendiendo cómo abusar de las redes sociales y las plataformas en la nube, donde hay una constante carrera armamentista para mantener fuera a los actores maliciosos", dijo Segura. "Recuerde que no hay una solución milagrosa y que cualquier cosa que suene demasiado buena para ser verdad puede ser una estafa disfrazada".
¿Quieres saber más?