BundleBot la nueva variante de malware tipo stealear que se propaga en herramientas de IA y Juegos

Recientemente los investigadores de Checkpoint, han descubierto una nueva variante del malware tipo Stealer, que se propaga a través de anuncios publicitarios de Facebook. Esta variante engaña a las víctimas redirigiendolas a sitios web disfrazados de utilidades de programas regulares, herramientas de inteligencia artificial y juegos que permite  a los actores de amenaza la ejecución del malware en un paquete nativo del Framework .Net llamado Dotnet para ejecutarse y evadir el análisis. 

Entre las principales aplicaciones que hasta el momento se conocen de la reciente campaña de BundleBot, han sido afectadas se tienen: 

• Google AI
• PDF Reader
• Canva
• Chaturbate
• Smart Minne
• Super Mario 3D World

Características de BundleBot

• Utiliza un formato del tipo Dotnet que aprovecha el archivo binario único del compilado del Framework .Net.
• El binario emplea ofuscación personalizada y código basura para evadir el análisis. 
• Tiene la capacidad de hacer capturas de pantalla, obtener tokens de Discord, información de Telegram y detalles de las cuentas de Facebook.
• La campaña del malware se propaga a través de anuncios de Facebook, que redirigen a la víctima a sitios web disfrazados de utilidades de programas regulares, herramientas de inteligencia artificial y juegos.
• Utiliza los detalles de las cuentas de Facebook comprometidas para autoalimentar las campañas dirigidas y propagar el malware a través de las cuentas comprometidas. 

Detalles de la amenaza

_{Fuente: Grupo CTI Entel Ocean}

Paquete Dotnet

Dotnet es un paquete de ensamblado de archivo único que se ha usado en el Framework de .Net desde su versión  .net core 3.0 y se sigue usando en las versiones actuales. 

El paquete autónomo  Dotnet es un formulario de compilación que permite producir un único binario ejecutable que no requiere tener una versión de tiempo de ejecución de dotnet específica preinstalada en el sistema operativo.

El ejecutable de este archivo es en realidad un binario de alojamiento nativo que contiene todo el tiempo de ejecución de dotnet, lo cual hace que el análisis o depuración de este archivo sea difícil de llevar  a cabo especialmente si dicho archivo se ve afectado por alguna ofuscación/protección, por lo que los actores de amenazan tienden a usar esta brecha para ocultar y ejecutar BundleBot.

Malware BundleBot

BundleBot es un malware del tipo Stealer que se propaga a través de campañas publicitarias o anuncios de Facebook, que recolecta información de la víctima de cuentas como Discord, Telegram y Facebook. Su foco principal de ataque se orienta a usuarios de EE.UU, a los cuales engaña a través de webs maliciosas ocultas en nombres de aplicaciones legítimas para propagarse,  un ejemplo de ello es la web maliciosa del Chatbot Bard de Google IA como se observa en la reciente investigación de Checkpoint.

_{Ilustración 1: Muestra de la Web Maliciosa para Google IA.}

_{Fuente: Checkpoint}

Cadena de Infección 

La cadena de infección inicia con el clic del anuncio publicitario de facebook, el cual una vez ejecutado  por el usuario víctima; descarga un archivo RAR, que se encuentra en sitios de alojamiento legítimo como Dropbox  o  Google Drive.

El archivo descargado contiene el payload correspondiente a la carga útil, donde se encuentra el paquete Dotnet de la primera etapa, inmediatamente después de la ejecución de esta primera etapa, la segunda etapa se descarga en forma de un archivo "ZIP" protegido con contraseña, generalmente desde un servicio de alojamiento como  Google Drive; en forma codificada. Al ser decodificado el archivo cifrado con la contraseña, se ejecuta el malware BundleBot que abusa del formato dotnet bundle (archivo único), autocontenido, con una combinación de ofuscación personalizada.

Una vez que se decodifica la contraseña del archivo zip se ejecutan los archivo zip de la última etapa que contienen RiotClientServices[.]dll y  LirarySharing[.]dll que se comunican con el C2.

A continuación, se muestra la cadena de infección usando como referencia la utilidad falsa " Google AI " que pretende ser una herramienta de marketing que utiliza Google AI Bard.

_{Ilustración 5: Cadena de infección de  BundleBot}

_{Fuente: Grupo CTI Entel Ocean}

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No abrir archivos de Microsoft Office que contengan MACROS hasta obtener confirmación del remitente y verificar que el envío sea bajo estrictas políticas de seguridad como por ejemplo: archivo cifrado, contraseña enviada por otro medio, contacto directo con el remitente.
• Utilizar el principio de menor privilegio, que trata de dividir el uso del sistema en dos cuentas, una estándar para uso diario que incluya las mínimas funciones posibles y otra cuenta de administrador que permita acceder al núcleo de su dispositivo.
• Tener atención y evitar extensiones como “exe”, “vbs” y “scr”. Es necesario vigilar este tipo de archivos, ya que podrían ser peligrosos. Un atacante podría utilizar diversas extensiones para enmascarar archivos maliciosos como un vídeo, foto, o un documento como: (reporte-clientes.doc.scr).
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.