BunnyLoader-Malware, die im Dark Web verkauft wird
Sicherheitsexperten haben kürzlich eine neue Malware-as-a-Service (MaaS)-Bedrohung namens BunnyLoader entdeckt, die im Dark Web zum Verkauf angeboten wird. Laut einer Analyse von Forschern von Zscaler ThreatLabz bietet BunnyLoader eine Reihe von Funktionen, darunter das Herunterladen und Ausführen einer sekundären Nutzlast sowie das Stehlen von Browser-Anmeldeinformationen und Systeminformationen und anderen Funktionen.
BunnyLoader, das in C/C++ codiert ist, ist für eine einmalige Gebühr von 250 US-Dollar erhältlich und befindet sich seit seinem Debüt am 4. September 2023 in aktiver Entwicklung. Die Malware fügt kontinuierlich neue Funktionen und Verbesserungen hinzu, einschließlich Techniken zum Umgehen Antivirensoftware und Sandbox-Umgebungen.
Die jüngsten Updates vom 15. und 27. September 2023 haben Probleme im Zusammenhang mit der Command-and-Control-Funktionalität (C2) behoben und „kritische“ SQL-Injection-Schwachstellen im C2-Panel behoben, die zu unbefugtem Zugriff auf die Datenbank hätten führen können.
BunnyLoader verfügt über dateilose Funktionen
Eine der bemerkenswerten Funktionen von BunnyLoader, die vom Autor PLAYER_BUNNY (auch bekannt als PLAYER_BL) hervorgehoben wird, ist die Fähigkeit zum dateilosen Laden, die es für Antivirenprogramme schwierig macht, den Schadcode zu entfernen.
Das C2-Panel bietet Käufern die Möglichkeit, aktive Aufgaben, Infektionsstatistiken, die Gesamtzahl der verbundenen und inaktiven Hosts sowie Protokolle zu gestohlenen Daten zu überwachen. Es bietet außerdem die Möglichkeit, Informationen zu löschen und gefährdete Maschinen fernzusteuern.
Die genaue Methode zur Verbreitung von BunnyLoader bleibt zunächst unklar. Sobald die Malware auf einem System installiert ist, stellt sie eine Persistenz her, indem sie Änderungen an der Windows-Registrierung vornimmt. Anschließend führt es Prüfungen durch, um Sandbox- und virtuelle Maschinenumgebungen zu erkennen, bevor es böswillige Aktivitäten ausführt, z. B. das Senden von Aufgabenanforderungen an einen Remote-Server und das Erhalten gewünschter Antworten.
Zu diesen Aktivitäten gehören Aufgaben wie das Herunterladen und Ausführen sekundärer Malware, das Ausführen von Keyloggern und Datendiebstahlern, um Informationen von Messaging-Apps, VPN-Clients und Webbrowsern zu sammeln, sowie die Umleitung von Kryptowährungszahlungen, um von illegalen Transaktionen zu profitieren. Der letzte Schritt besteht darin, die gesammelten Daten in ein ZIP-Archiv zu packen und an einen Remote-Server zu übertragen.