Google Bardの偽Webサイトに誘導 新型マルウェア「BundleBot」とは？

新型マルウェア「BundleBot」に関する調査結果がCheck Pointから発表された。Facebookの広告や侵害したアカウントを経由して感染し、「.NET」のバンドル形式を悪用して検出を困難にする。

[後藤大地，有限会社オングス]

　Check Point Software Technologiesは2023年7月19日（現地時間）、新型マルウェア「BundleBot」に関する調査結果を発表した。BundleBotは「Facebook」広告や侵害されたアカウントを介して配布され、ユーティーリティソフトウェアやゲーム、生成AI（人工知能）ツール「Google Bard」を装った偽のWebサイトに誘導する手口を使うのが特徴だ。

新型マルウェアBundleBotに関する調査結果が発表された（出典：Check Point Software TechnologiesのWebサイト）

偽のGoogle BardのWebサイトに誘導　BundleBotの詳細は？

　BundleBotはインフォスティーラーやbotとして機能し、「.NET」のバンドル（単一ファイル）自己完結形式を利用している。この形式は「.NET Core 3.0+」から「.NET 8」まで4年間サポートされており、すでにこの形式を悪用するマルウェアファミリーの存在が確認されている。BundleBotもこれらのマルウェアと同様にこの形式を悪用している。

　「.NET」のバンドル自己完結形式は「.NET Core 3.0」以降で利用できるようになったもので、「.NET」のアセンブラを単一のバイナリとしてデプロイできる。ランタイム環境をインストールする必要なく動作するためユーザーにとっては扱いやすい形式だが、単一のバイナリとして機能するために必要なファイルを全て含むことからかなりサイズが大きくなる傾向がある他、難読化技術を併用された場合、セキュリティソフトウェアによる検出が困難になるという特徴がある。

　Check Point Software Technologiesは、BundleBotを.NETアセンブリ分析ソフトウェアで調査した結果のスクリーンショットを掲載しており、スクリーンショットからはメソッド名に日本語の平仮名が使われている様子が示されている。難読化に関する詳しい情報は説明されていない。

　引き続き疑わしいWebサイトへのアクセスやそこからダウンロードを実行しないなど、基本的な対策をとり続けることが望まれる。