BunnnyLoader Malware sælges på det mørke web

Sikkerhedseksperter har for nylig afsløret en ny malware-as-a-service (MaaS) trussel kendt som BunnyLoader, som promoveres til salg på det mørke web. Ifølge en analyse foretaget af forskere fra Zscaler ThreatLabz tilbyder BunnyLoader en række funktioner, herunder downloading og eksekvering af en sekundær nyttelast, stjæle browserlegitimationsoplysninger og systemoplysninger, blandt andre muligheder.

BunnyLoader, som er kodet i C/C++, er tilgængelig for et engangsgebyr på $250, og den har været i aktiv udvikling siden dens debut den 4. september 2023. Malware tilføjer løbende nye funktioner og forbedringer, herunder teknikker til at unddrage sig antivirussoftware og sandkassemiljøer.

Nylige opdateringer den 15. september og 27. september 2023 løste problemer relateret til kommando-og-kontrol-funktionalitet (C2) og adresserede "kritiske" SQL-injektionssårbarheder i C2-panelet, der kunne have givet uautoriseret adgang til databasen.

BunnnyLoader kommer med filløse funktioner

En af BunnyLoaders bemærkelsesværdige funktioner, fremhævet af forfatteren PLAYER_BUNNY (også kendt som PLAYER_BL), er dens filløse indlæsningsevne, hvilket gør det udfordrende for antivirusprogrammer at fjerne den ondsindede kode.

C2-panelet giver købere muligheder for at overvåge aktive opgaver, infektionsstatistikker, det samlede antal tilsluttede og inaktive værter og logfiler relateret til stjålne data. Det giver også mulighed for at slette information og fjernstyre kompromitterede maskiner.

Den nøjagtige metode, der blev brugt til at distribuere BunnyLoader, er i første omgang uklar. Når den først er installeret på et system, etablerer malwaren persistens ved at foretage ændringer i Windows-registreringsdatabasen. Den udfører derefter kontrol for at opdage sandkasse- og virtuelle maskinemiljøer, før den udfører ondsindede aktiviteter, såsom at sende opgaveanmodninger til en fjernserver og opnå ønskede svar.

Disse aktiviteter omfatter opgaver som at downloade og udføre sekundær malware, køre keyloggere og datatyvere for at indsamle oplysninger fra messaging-apps, VPN-klienter og webbrowsere og omdirigere kryptovalutabetalinger for at drage fordel af ulovlige transaktioner. Det sidste trin involverer at pakke de indsamlede data ind i et ZIP-arkiv og sende dem til en fjernserver.