El malware BunnnyLoader se vende en la Dark Web
Los expertos en seguridad han descubierto recientemente una nueva amenaza de malware como servicio (MaaS) conocida como BunnyLoader, que se promociona para su venta en la web oscura. Según un análisis realizado por investigadores de Zscaler ThreatLabz, BunnyLoader ofrece una variedad de funciones, que incluyen descargar y ejecutar una carga útil secundaria, robar credenciales del navegador e información del sistema, entre otras capacidades.
BunnyLoader, que está codificado en C/C++, está disponible por una tarifa única de $250 y ha estado en desarrollo activo desde su debut el 4 de septiembre de 2023. El malware agrega continuamente nuevas funciones y mejoras, incluidas técnicas para evadir software antivirus y entornos sandbox.
Las actualizaciones recientes del 15 y 27 de septiembre de 2023 resolvieron problemas relacionados con la funcionalidad de comando y control (C2) y abordaron vulnerabilidades de inyección SQL "críticas" en el panel C2 que podrían haber proporcionado acceso no autorizado a la base de datos.
BunnnyLoader viene con capacidades sin archivos
Una de las características notables de BunnyLoader, destacada por su autor PLAYER_BUNNY (también conocido como PLAYER_BL), es su capacidad de carga sin archivos, lo que dificulta que los programas antivirus eliminen el código malicioso.
El panel C2 ofrece opciones para que los compradores supervisen las tareas activas, las estadísticas de infección, el número total de hosts conectados e inactivos y los registros relacionados con los datos robados. También brinda la capacidad de borrar información y controlar de forma remota las máquinas comprometidas.
El método exacto utilizado para distribuir BunnyLoader inicialmente no está claro. Una vez instalado en un sistema, el malware establece persistencia realizando cambios en el Registro de Windows. Luego realiza comprobaciones para detectar entornos de pruebas y máquinas virtuales antes de llevar a cabo actividades maliciosas, como enviar solicitudes de tareas a un servidor remoto y obtener las respuestas deseadas.
Estas actividades abarcan tareas como descargar y ejecutar malware secundario, ejecutar registradores de teclas y ladrones de datos para recopilar información de aplicaciones de mensajería, clientes VPN y navegadores web, y redirigir pagos en criptomonedas para beneficiarse de transacciones ilícitas. El último paso consiste en empaquetar los datos recopilados en un archivo ZIP y transmitirlos a un servidor remoto.