マルチライセンス割引
Threat Database Malware BundleBot マルウェア

BundleBot マルウェア

Malware, StealersMezoまで
翻訳内容:
日本語

BundleBot と呼ばれる脅威的なマルウェアの亜種は、.NET の単一ファイル展開技術を利用して検出を回避し、秘密裏に動作しています。この方法により、攻撃者は侵害されたホストから機密情報を密かに取得できます。

BundleBot は、ドットネット バンドル (単一ファイル) 自己完結型形式を悪用することで知られており、セキュリティ システムによる検出が困難になっています。その結果、静的検出が非常に低くなるか、ゼロになることもあり、侵害されたデバイス上でマルウェアが長期間検出されないままになる可能性があります。

サイバーセキュリティ専門家の調査結果によると、BundleBot の配布は通常、Facebook 広告や侵害されたアカウントを通じて行われ、無防備なユーザーを通常のプログラム ユーティリティ、AI ツール、ゲームを装った Web サイトに誘導します。ユーザーがこれらの詐欺的な Web サイトにアクセスすると、無意識のうちにマルウェアのダウンロードと実行が引き起こされ、システムと機密データが危険にさらされます。

サイバー犯罪者は人気の AI ツールをフィッシングのおとりとして利用

BundleBot Malware 攻撃に関連する Web サイトは、同社が開発した著名な会話生成型 AI チャットボットである Google Bard を模倣する戦術を採用しています。これらの詐欺的な Web サイトは、「Google_AI.rar」という名前の RAR アーカイブへの一見魅力的なダウンロード リンクを提供して、疑いを持たない被害者をおびき寄せます。特に、これらの不正なアーカイブは Dropbox などの正規のクラウド ストレージ サービスでホストされています。

AI ツールの人気が高まっていることを考慮すると、Google Bard をルアーとして使用することは新しいことではありません。サイバー犯罪者はここ数カ月間、この傾向を利用して、特に Facebook などのプラットフォームでユーザーを欺いています。彼らはこの戦略を採用して、悪名高いDoeneriumなどのさまざまな種類の情報収集マルウェアを密かに配布します。

こうした安全でないリンクの配布は、Facebook 広告や侵害されたユーザー アカウントを通じて行われることがよくあります。この手法は、しばらくの間、攻撃者によって継続的に悪用されてきました。この配布戦術と、被害者の Facebook アカウント情報を窃取するマルウェアの能力を組み合わせることで、サイバー犯罪者は有害な活動に影響を与える自律的なサイクルを作り出します。

BundleBot マルウェア脅威の感染チェーン

「Google_AI.rar」アーカイブを解凍すると、「GoogleAI.exe」という名前の実行可能ファイルが見つかります。これは、.NET の単一ファイルの自己完結型アプリケーションです。さらに、このアプリケーションには、Google ドライブからパスワードで保護された ZIP アーカイブを取得する役割を担う「GoogleAI.dll」という DLL ファイルが組み込まれています。

次の段階では、「ADSNEW-1.0.0.3.zip」という ZIP ファイルから抽出された内容から、「RiotClientServices.exe」という別の .NET 単一ファイルの自己完結型アプリケーションが明らかになります。このアプリケーションには、BundleBot ペイロード「RiotClientServices.dll」と、「LirarySharing.dll」という名前のコマンド アンド コントロール (C2) パケット データ シリアライザーが含まれています。

BundleBot マルウェアは、アクティブ化されると、カスタムの新しいスティーラー/ボットとして機能します。 「LirarySharing.dll」ライブラリを利用して、ボットと C2 サーバーとの通信中に送信されるパケット データを処理し、シリアル化します。分析を回避するために、バイナリ アーティファクトにはカスタムメイドの難読化技術が利用されており、大量のジャンク コードが含まれています。

BundleBot マルウェアには脅威となる侵入機能があります

このマルウェアの能力は驚くべきものです。 Web ブラウザからこっそりとデータを抽出し、スクリーンショットをキャプチャし、Discord トークンを取得し、Telegram から情報を収集し、Facebook アカウントの詳細を収集することができます。このマルウェアは、高度なデータ窃取ボットとして動作し、ユーザーが知らないうちにさまざまなソースから機密情報を侵害します。

興味深いことに、BundleBot の 2 番目のサンプルは、1 つの重要な違いを除いてすべての点でほぼ同一です。この亜種は、HTTPS を利用して、盗まれた情報をリモート サーバーに流出させます。盗まれたデータは ZIP アーカイブとして抽出されるため、攻撃者は疑惑を抱かずに被害者の情報を慎重に転送できます。

トレンド

Triovideo.ru

Browser Hijackers
Triovideo.ruは、インターネット設定を変更するためにバンドルされたソフトウェアまたはフリーウェアのいずれかでダウンロードされたコンポーネントがインストールされているために自動的にロードされる可能性のある疑わしいWebサイトです。これらの変更の場合、Triovideo.ruは、一般的なWebブラウザのデフォルトのホームページまたは新しいタブページとして設定される場合があります。 Tr...

Elibe Ransomware

Ransomware
Elibe ランサムウェアは、ファイルを暗号化し、ファイル名に「.elibe」を追加して、被害者がデータにアクセスできないようにする機能を特徴としています。 Elibe ランサムウェアは、他の多くのランサムウェアと同様、コンピュータ システムに密かに侵入し、古いソフトウェアの脆弱性を悪用したり、フィッシングメールや悪意のある添付ファイルなどのソーシャル エンジニアリング戦術を利用したりするこ...

Campo Loader

Malware
Campo Loader(またはNLoader)は、日本のエンティティに対する攻撃キャンペーンで悪用されているマルウェアの脅威です。 Campo Loaderは、すでに侵害されたコンピューターに実際のマルウェアペイロードを配信するように設計された初期段階の脅威として機能します。 Campo Loaderは、特定の脅威アクターとその特定の目標に応じて、いくつかの異なるペイロードをドロップするこ...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,393
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
24,877
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
23,910
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...