Le logiciel malveillant BunnnyLoader vendu sur le Dark Web
Les experts en sécurité ont récemment découvert une nouvelle menace de malware-as-a-service (MaaS) connue sous le nom de BunnyLoader, qui est mise en vente sur le dark web. Selon une analyse réalisée par des chercheurs de Zscaler ThreatLabz, BunnyLoader offre une gamme de fonctions, notamment le téléchargement et l'exécution d'une charge utile secondaire, le vol des informations d'identification du navigateur et des informations système, entre autres capacités.
BunnyLoader, codé en C/C++, est disponible moyennant des frais uniques de 250 $ et est en développement actif depuis ses débuts le 4 septembre 2023. Le malware ajoute continuellement de nouvelles fonctionnalités et améliorations, y compris des techniques pour échapper aux attaques. logiciels antivirus et environnements sandbox.
Des mises à jour récentes des 15 et 27 septembre 2023 ont résolu des problèmes liés à la fonctionnalité de commande et de contrôle (C2) et corrigé des vulnérabilités d'injection SQL « critiques » dans le panneau C2 qui auraient pu fournir un accès non autorisé à la base de données.
BunnnyLoader est livré avec des fonctionnalités sans fichier
L'une des caractéristiques notables de BunnyLoader, soulignée par son auteur PLAYER_BUNNY (également connu sous le nom de PLAYER_BL), est sa capacité de chargement sans fichier, ce qui rend difficile pour les programmes antivirus la suppression du code malveillant.
Le panneau C2 offre aux acheteurs des options pour surveiller les tâches actives, les statistiques d'infection, le nombre total d'hôtes connectés et inactifs et les journaux liés aux données volées. Il offre également la possibilité d’effacer des informations et de contrôler à distance les machines compromises.
La méthode exacte utilisée pour distribuer BunnyLoader reste initialement floue. Une fois installé sur un système, le malware établit sa persistance en apportant des modifications au registre Windows. Il effectue ensuite des vérifications pour détecter les environnements sandbox et de machines virtuelles avant d'effectuer des activités malveillantes, telles que l'envoi de demandes de tâches à un serveur distant et l'obtention des réponses souhaitées.
Ces activités englobent des tâches telles que le téléchargement et l'exécution de logiciels malveillants secondaires, l'exécution d'enregistreurs de frappe et de voleurs de données pour collecter des informations à partir d'applications de messagerie, de clients VPN et de navigateurs Web, et la redirection des paiements en cryptomonnaies pour tirer profit de transactions illicites. La dernière étape consiste à regrouper les données collectées dans une archive ZIP et à les transmettre à un serveur distant.
