BunnnyLoader rosszindulatú program, amelyet a sötét weben értékesítettek

Biztonsági szakértők nemrég fedezték fel a BunnyLoader néven ismert új malware-as-a-service (MaaS) fenyegetést, amelyet eladásra hirdetnek a sötét weben. A Zscaler ThreatLabz kutatóinak elemzése szerint a BunnyLoader számos funkciót kínál, többek között egy másodlagos hasznos adat letöltését és végrehajtását, a böngésző hitelesítő adatainak és rendszerinformációinak ellopását.

A C/C++ nyelven kódolt BunnyLoader egyszeri, 250 dolláros díj ellenében érhető el, és 2023. szeptember 4-i debütálása óta aktív fejlesztés alatt áll. A rosszindulatú program folyamatosan új funkciókat és fejlesztéseket ad hozzá, beleértve az elkerülhető technikákat is. víruskereső szoftverek és sandbox környezetek.

A legutóbbi, 2023. szeptember 15-i és szeptember 27-i frissítések megoldották a parancs- és vezérlési (C2) funkcionalitással kapcsolatos problémákat, és kiküszöbölték a C2 panel "kritikus" SQL-befecskendezési sebezhetőségeit, amelyek jogosulatlan hozzáférést biztosíthattak az adatbázishoz.

A BunnnyLoader fájl nélküli képességekkel rendelkezik

A BunnyLoader egyik figyelemre méltó tulajdonsága, amelyet szerzője, PLAYER_BUNNY (más néven PLAYER_BL) emelt ki, a fájl nélküli betöltési képessége, amely kihívást jelent a víruskereső programok számára a rosszindulatú kód eltávolításában.

A C2 panel lehetőséget kínál a vásárlóknak az aktív feladatok, a fertőzési statisztikák, a csatlakoztatott és inaktív gazdagépek teljes számának, valamint az ellopott adatokkal kapcsolatos naplók figyelésére. Lehetővé teszi továbbá az információk törlését és a kompromittált gépek távoli vezérlését.

A BunnyLoader terjesztésének pontos módszere kezdetben tisztázatlan marad. Miután telepítették a rendszerre, a rosszindulatú program a Windows rendszerleíró adatbázisának módosításával biztosítja a perzisztenciát. Ezután ellenőrzéseket hajt végre a sandbox és a virtuális gép környezetek észlelésére, mielőtt rosszindulatú tevékenységeket hajt végre, például feladatkéréseket küld egy távoli kiszolgálónak, és megkapja a kívánt válaszokat.

Ezek a tevékenységek olyan feladatokat foglalnak magukban, mint a másodlagos rosszindulatú programok letöltése és végrehajtása, kulcsnaplózók és adatlopók futtatása üzenetküldő alkalmazásokból, VPN-kliensekből és webböngészőkből való információgyűjtés céljából, valamint a kriptovaluta fizetések átirányítása a tiltott tranzakciókból származó haszonszerzés érdekében. Az utolsó lépés az összegyűjtött adatok ZIP-archívumba történő csomagolása és egy távoli szerverre való továbbítása.