Κακόβουλο λογισμικό BunnnyLoader Πωλείται στο Dark Web

Ειδικοί σε θέματα ασφάλειας ανακάλυψαν πρόσφατα μια νέα απειλή κακόβουλου λογισμικού ως υπηρεσία (MaaS) γνωστή ως BunnyLoader, η οποία προωθείται προς πώληση στον σκοτεινό ιστό. Σύμφωνα με μια ανάλυση ερευνητών από το Zscaler ThreatLabz, το BunnyLoader προσφέρει μια σειρά από λειτουργίες, όπως λήψη και εκτέλεση δευτερεύοντος ωφέλιμου φορτίου, κλοπή διαπιστευτηρίων προγράμματος περιήγησης και πληροφοριών συστήματος, μεταξύ άλλων δυνατοτήτων.

Το BunnyLoader, το οποίο είναι κωδικοποιημένο σε C/C++, είναι διαθέσιμο με εφάπαξ χρέωση 250 $ και βρίσκεται σε ενεργό ανάπτυξη από την πρώτη του εμφάνιση στις 4 Σεπτεμβρίου 2023. Το κακόβουλο λογισμικό προσθέτει συνεχώς νέες δυνατότητες και βελτιώσεις, συμπεριλαμβανομένων τεχνικών αποφυγής λογισμικό προστασίας από ιούς και περιβάλλοντα sandbox.

Οι πρόσφατες ενημερώσεις στις 15 Σεπτεμβρίου και στις 27 Σεπτεμβρίου 2023, επέλυσαν ζητήματα σχετικά με τη λειτουργικότητα εντολών και ελέγχου (C2) και αντιμετώπισαν «κρίσιμα» τρωτά σημεία έγχυσης SQL στον πίνακα C2 που θα μπορούσαν να έχουν παράσχει μη εξουσιοδοτημένη πρόσβαση στη βάση δεδομένων.

Το BunnnyLoader έρχεται με δυνατότητες χωρίς αρχεία

Ένα από τα αξιοσημείωτα χαρακτηριστικά του BunnyLoader, που τονίστηκε από τον συγγραφέα του PLAYER_BUNNY (επίσης γνωστό ως PLAYER_BL), είναι η δυνατότητα φόρτωσης χωρίς αρχεία, η οποία καθιστά δύσκολη την αφαίρεση του κακόβουλου κώδικα από τα προγράμματα προστασίας από ιούς.

Ο πίνακας C2 προσφέρει επιλογές στους αγοραστές να παρακολουθούν ενεργές εργασίες, στατιστικά στοιχεία μόλυνσης, τον συνολικό αριθμό συνδεδεμένων και ανενεργών κεντρικών υπολογιστών και αρχεία καταγραφής που σχετίζονται με κλεμμένα δεδομένα. Παρέχει επίσης τη δυνατότητα διαγραφής πληροφοριών και απομακρυσμένου ελέγχου μηχανημάτων που έχουν παραβιαστεί.

Η ακριβής μέθοδος που χρησιμοποιήθηκε για τη διανομή του BunnyLoader παραμένει αρχικά ασαφής. Μόλις εγκατασταθεί σε ένα σύστημα, το κακόβουλο λογισμικό αποκαθιστά την επιμονή κάνοντας αλλαγές στο μητρώο των Windows. Στη συνέχεια, εκτελεί ελέγχους για τον εντοπισμό περιβαλλόντων sandbox και εικονικής μηχανής πριν από τη διεξαγωγή κακόβουλων δραστηριοτήτων, όπως η αποστολή αιτημάτων εργασιών σε έναν απομακρυσμένο διακομιστή και η λήψη των επιθυμητών απαντήσεων.

Αυτές οι δραστηριότητες περιλαμβάνουν εργασίες όπως λήψη και εκτέλεση δευτερεύοντος κακόβουλου λογισμικού, εκτέλεση keyloggers και stealers δεδομένων για τη συλλογή πληροφοριών από εφαρμογές ανταλλαγής μηνυμάτων, πελάτες VPN και προγράμματα περιήγησης ιστού και ανακατεύθυνση πληρωμών σε κρυπτονομίσματα για κέρδος από παράνομες συναλλαγές. Το τελευταίο βήμα περιλαμβάνει τη συσκευασία των συγκεντρωμένων δεδομένων σε ένα αρχείο ZIP και τη μετάδοσή τους σε έναν απομακρυσμένο διακομιστή.