Malware distribuído por anúncios e contas comprometidas no Facebook usa download em estágios, arquivos compactados e binários autocontidos do .NET para dificultar análise estática e roubar informações de contas.
| Componente | BundleBot, um stealer/bot entregue como aplicação autocontida do .NET em formato de arquivo único, com runtime, assemblies e dependências embutidos no executável. |
| Vetor | Anúncios no Facebook e contas comprometidas direcionam usuários para páginas de phishing que se passam por utilitários, ferramentas de IA e jogos; o download inicial chega como arquivo RAR contendo um downloader em .NET. |
| Impacto | O malware tem capacidade de coletar informações de contas do Facebook e pode sustentar campanhas autorreplicáveis quando contas roubadas são reutilizadas para nova distribuição. |
| Prioridade | Bloquear e investigar downloads de utilitários falsos originados de anúncios ou contas sociais comprometidas, correlacionando arquivos compactados, binários .NET autocontidos e comunicação com serviços de hospedagem. |
| Versões | O formato abusado existe desde .NET Core 3.0; antes do .NET 5, assemblies tendiam a ser extraídos para disco por padrão, enquanto versões posteriores carregam conteúdo diretamente na memória em configuração padrão. |
| Artefatos | A análise descreve um downloader chamado GoogleAI.exe, o módulo GoogleAI.dll, uma etapa final observada como RiotClientServices.exe e o uso de arquivos ZIP protegidos por senha para transportar a carga seguinte. |
BundleBot é uma família observada como stealer/bot que combina engenharia social, abuso de contas em redes sociais e empacotamento do .NET para reduzir a exposição de seus componentes durante análise estática. A cadeia começa com publicidade ou publicações originadas de contas comprometidas no Facebook, levando a páginas de phishing que imitam programas comuns, ferramentas de IA, leitores de PDF, aplicações de design, jogos ou utilitários. O objetivo não é explorar uma vulnerabilidade do navegador ou do sistema operacional no material analisado, mas convencer o usuário a baixar um falso instalador. A partir desse ponto, a execução passa por estágios compactados e por binários autocontidos, o que aumenta o atrito para inspeção, extração de conteúdo e depuração.
A escolha do formato de arquivo único do .NET é relevante porque o executável resultante não se comporta como um assembly .NET tradicional exposto de forma simples no cabeçalho de metadados. Ele incorpora runtime, assemblies e dependências em uma sobreposição do binário e usa um host nativo específico da plataforma para preparar o ambiente antes de transferir a execução ao ponto de entrada do módulo gerenciado. Como consequência, ferramentas e rotinas de análise que esperam um assembly convencional podem não apresentar todos os artefatos internos de imediato. Quando isso é combinado com ofuscação de nomes e strings, o operador defensivo precisa tratar o arquivo como um contêiner com múltiplas peças, e não como um único programa plano.
A infecção típica descrita começa fora do endpoint, em páginas de phishing acessadas após interação com anúncios ou contas de Facebook já comprometidas. Essas páginas se apresentam como fontes legítimas de software e entregam um arquivo RAR com um downloader. Esse primeiro estágio também é empacotado como aplicação autocontida do .NET em formato de arquivo único, o que significa que sua execução não depende necessariamente de uma versão específica do runtime já instalada no sistema. Após iniciado pelo usuário, o downloader busca uma segunda etapa em um arquivo ZIP protegido por senha, geralmente hospedado em serviços legítimos de armazenamento como Google Drive ou Dropbox. A senha fica embutida no downloader, em texto claro ou codificada, mas a defesa não precisa expor esse valor para validar o comportamento.
A carga principal extraída do arquivo protegido é o BundleBot, também entregue como binário autocontido do .NET e combinado com ofuscação personalizada. O uso de compactação em camadas, senha embutida e serviços de hospedagem comuns reduz a visibilidade de gateways e mecanismos que dependem apenas de inspeção superficial do arquivo baixado. Além disso, o formato do .NET muda o comportamento de extração conforme a geração do runtime usada na compilação: em .NET Core 3.0, assemblies eram normalmente materializados em diretório temporário antes do carregamento; em .NET 5 e versões posteriores, a configuração padrão carrega o conteúdo diretamente na memória, salvo exceções envolvendo bibliotecas nativas. Essa diferença afeta a telemetria de disco e muda onde o analista deve procurar evidências.
O material analisado também indica que os downloaders vistos compartilhavam a mesma lógica de abertura do arquivo protegido e que um exemplo associado ao falso utilitário Google AI continha um caminho de PDB apontando para um ambiente de desenvolvimento com termos relacionados a bot, RAT e download de cliente para Facebook. Esse tipo de resíduo não comprova por si só atribuição formal, mas ajuda a entender intenção operacional e foco funcional da cadeia. A capacidade de roubar informações de contas do Facebook cria um ciclo de propagação: contas obtidas podem ser usadas para publicar novos conteúdos ou anúncios que redirecionam outras vítimas para páginas falsas, ampliando a distribuição sem depender apenas de infraestrutura própria do operador.
A exposição principal recai sobre usuários que interagem com anúncios, publicações ou mensagens de contas comprometidas e aceitam baixar supostos utilitários fora de canais confiáveis. Ambientes corporativos com uso permitido de redes sociais, times de marketing que administram páginas no Facebook e estáções com acesso a contas de publicidade merecem atenção especial, porque o malware descrito busca informações de contas dessa plataforma. O risco técnico confirmado no contexto está ligado à execução voluntária de binários baixados de páginas falsas e ao encadeamento de estágios, não a exploração remota automática de um serviço vulnerável.
Do ponto de vista de engenharia e resposta a incidentes, a superfície inclui endpoints Windows capazes de executar aplicações autocontidas do .NET, controles de download que permitem arquivos RAR e ZIP, políticas de navegação que não restringem páginas recém-criadas ou imitadoras de marcas e monitoramento insuficiente sobre execução de binários grandes em diretórios de usuário. Como o binário autocontido carrega runtime e dependências, a ausência do .NET previamente instalado não elimina o risco. A detecção também não deve depender apenas de assinaturas estáticas, pois o próprio desenho do empacotamento e a ofuscação reduzem a clareza dos assemblies internos antes da extração adequada.
- Usuários que baixam falsos utilitários, ferramentas de IA, leitores de PDF, programas de design, jogos ou aplicativos promovidos por páginas de phishing.
- Estáções de trabalho com sessão ativa em contas do Facebook, especialmente perfis usados para publicidade, administração de páginas ou comunicação com clientes.
- Controles que permitem execução de binários autocontidos do .NET originados de arquivos
RARouZIPbaixados de serviços de hospedagem pública. - Processos de análise que tratam executáveis .NET de arquivo único como binários comuns e deixam de extrair assemblies, dependências e arquivos de configuração internos.
A investigação deve começar pela cadeia de aquisição do arquivo. Em proxy, DNS, EDR e logs de navegador, procure downloads iniciados após navegação para domínios que imitam softwares populares ou páginas promovidas por anúncios em redes sociais. O uso de Google Drive ou Dropbox não é malicioso por si só, mas passa a ser relevante quando aparece imediatamente antes da criação de arquivos compactados suspeitos e da execução de um binário desconhecido em diretórios de usuário. A presença de um RAR inicial seguido por um ZIP protegido, extraído por um processo filho, é um encadeamento mais significativo do que qualquer evento isolado.
No endpoint, sinais úteis incluem executáveis .NET incomumente grandes, processos com nomes que imitam produtos conhecidos e criação de processos a partir de pastas temporárias, downloads ou diretórios extraídos. Em versões do runtime anteriores ao .NET 5, pode haver assemblies materializados no disco durante a execução; em versões posteriores, a ausência desses arquivos não descarta a atividade, porque o carregamento pode ocorrer diretamente na memória. Para análise de laboratório, a extração dos componentes internos do bundle e a inspeção de arquivos como runtimeconfig.json e deps.json ajudam a reconstruir dependências, versão de runtime e módulos gerenciados, sem transformar a investigação em reprodução operacional da infecção.
A telemetria de identidade também deve ser incluída. Como a família possui capacidade ligada à coleta de informações de contas do Facebook, eventos anômalos de login, alterações em anúncios, criação de publicações não reconhecidas e novos acessos a páginas administradas após a execução do binário são sinais de impacto potencial. A defesa deve correlacionar esses eventos com execução local, histórico de download e criação de arquivos compactados. Essa correlação reduz falsos positivos gerados por uso legítimo de serviços de armazenamento e por aplicações .NET benignas empacotadas no mesmo formato.
- Download de arquivo
RARapós visita a página que imita utilitário, ferramenta de IA, jogo ou software popular anunciado em rede social. - Execução de binário .NET autocontido de grande tamanho a partir de
Downloads, diretórios temporários ou pastas recém-extraídas. - Criação ou leitura de arquivo
ZIPprotegido por senha como etapa intermediária antes de novo executável ser iniciado. - Processos com nomes associados a softwares conhecidos, mas localizados fora de caminhos oficiais de instalação.
- Atividade incomum em contas do Facebook após execução local, incluindo novos anúncios, publicações, sessões ou alterações administrativas não reconhecidas.
A resposta deve priorizar contenção do endpoint, preservação de evidências e revisão das contas sociais envolvidas. Quando houver suspeita de execução, isole a estáção para impedir novos downloads e conexões, colete artefatos de disco e memória conforme o procedimento interno e levante a árvore de processos que partiu do arquivo compactado inicial. Em seguida, revise sessões ativas, tokens de acesso e alterações recentes nas contas do Facebook usadas no host afetado. Como o fluxo pode reaproveitar contas roubadas para nova distribuição, a contenção precisa abranger identidade e não apenas remoção do binário.
Na prevenção, bloqueie ou coloque em quarentena downloads de arquivos compactados vindos de páginas recém-observadas que se apresentam como instaladores de ferramentas populares, principalmente quando o caminho de execução resultar em binários .NET autocontidos desconhecidos. Políticas de allowlist de aplicações, inspeção de arquivos compactados, reputação de origem e validação de assinatura digital reduzem a janela de execução. Para times de engenharia reversa e DFIR, mantenha procedimentos específicos para bundles de arquivo único do .NET, incluindo extração de assemblies internos, identificação da versão do runtime usada e análise de configuração, porque a visibilidade obtida de um assembly .NET comum pode não existir no primeiro contato com esse formato.
A mitigação de identidade deve incluir troca de senhas, revogação de sessões, revisão de permissões em contas e páginas, remoção de administradores desconhecidos e auditoria de campanhas publicitárias criadas ou alteradas durante a janela do incidente. Onde houver autenticação multifator, verifique se o método não foi alterado e se não existem dispositivos confiáveis indevidos. O objetivo é interromper tanto a execução local quanto a capacidade de propagação social descrita na cadeia, mantendo os limites factuais do incidente: o contexto sustenta coleta de informações de contas do Facebook e distribuição por páginas falsas, não um vazamento corporativo amplo nem exploração automática de vulnerabilidade de rede.
- Isolar endpoints suspeitos e preservar árvore de processos, arquivos compactados, executáveis baixados e histórico de navegação relacionado.
- Revisar contas do Facebook usadas no host afetado, encerrando sessões, revogando acessos e auditando anúncios ou publicações recentes.
- Bloquear execução de binários desconhecidos em diretórios de usuário e reforçar allowlist para instaladores de software aprovado.
- Criar detecções para a sequência
RARbaixado, downloader .NET autocontido,ZIPprotegido e execução de segunda etapa. - Treinar equipes com acesso a contas de publicidade para validar origem de ferramentas de IA, utilitários e jogos antes de qualquer download.
0 Comentários