قدمت شركة الأمن السيبراني شيك بوينت Check Point Research (CPR) تحليلًا متعمقًا لسلالة جديدة من البرامج الضارة يطلق عليها اسم باندل بوت BundleBot والتي يتم توزيعها بشكل شائع عبر إعلانات فيسبوك والحسابات المخترقة التي تؤدي إلى مواقع الويب التي تتنكر في شكل أدوات مساعدة للبرامج العادية وأدوات الذكاء الاصطناعي والألعاب.

يقوم BundleBot بإساءة استخدام حزمة dotnet (ملف فردي)، وهو تنسيق قائم بذاته ينتج عنه اكتشاف منخفض جدًا أو عدم اكتشاف ثابت على الإطلاق.

يختلف BundleBot الذي يستخدم تنسيق dotnet المحدد هذا من حيث سلسلة العدوى (الأكثر تعقيدًا)، حيث يسيء في الغالب استخدام إعلانات Facebook والحسابات المخترقة التي تؤدي إلى مواقع التصيد الاحتيالي التي تتنكر في شكل برامج عادية وأدوات الذكاء الاصطناعي والألعاب، مثل (Google AI و PDF Reader و Canva و Chaturbate و Smart Miner و Super Mario 3D World). 

 نظرًا لأن إحدى قدرات BundleBot هي سرقة معلومات حساب Facebook، يمكن اعتبار هذه الحملات ذاتية التغذية، حيث يتم استخدام المعلومات المسروقة أيضًا لنشر البرامج الضارة عبر الحسابات المخترقة حديثًا.

بمجرد خداع الضحية لتنزيل الأداة المساعدة للبرنامج المزيف من موقع التصيد الاحتيالي ، يتم تسليم أداة تنزيل المرحلة الأولى في شكل أرشيف "RAR". عادة ما تكون مراحل التنزيل هذه على خدمات الاستضافة مثل Dropbox أو Google Drive.

يحتوي أرشيف "RAR" الذي تم تنزيله على أول برنامج تنزيل في المرحلة الأولى بتنسيق حزمة dotnet (ملف فردي). فور تنفيذ هذه المرحلة الأولى، يتم تنزيل المرحلة الثانية في شكل أرشيف "ZIP" محمي بكلمة مرور، عادةً من خدمة استضافة مثل Google Drive. تكون كلمة المرور للمرحلة الثانية مشفرة بشكل ثابت في أداة التنزيل.

الجزء الرئيسي من أرشيف "ZIP" المحمي بكلمة مرور والذي يتم استخراجه وتنفيذه هو BundleBot الذي يسيء استخدام حزمة dotnet (ملف واحد)، وهو تنسيق قائم بذاته مع مزيج من التشويش المخصص.