Malware BunnnyLoader venduto sul Dark Web

Gli esperti di sicurezza hanno recentemente scoperto una nuova minaccia malware-as-a-service (MaaS) nota come BunnyLoader, che viene promossa per la vendita sul dark web. Secondo un'analisi dei ricercatori di Zscaler ThreatLabz, BunnyLoader offre una serie di funzioni, tra cui il download e l'esecuzione di un payload secondario, il furto delle credenziali del browser e delle informazioni di sistema, tra le altre funzionalità.

BunnyLoader, che è codificato in C/C++, è disponibile per una tariffa una tantum di $ 250 ed è in sviluppo attivo sin dal suo debutto il 4 settembre 2023. Il malware aggiunge continuamente nuove funzionalità e miglioramenti, comprese le tecniche per eludere software antivirus e ambienti sandbox.

Aggiornamenti recenti del 15 e 27 settembre 2023 hanno risolto problemi relativi alla funzionalità di comando e controllo (C2) e risolto vulnerabilità "critiche" di SQL injection nel pannello C2 che avrebbero potuto fornire accesso non autorizzato al database.

BunnnyLoader è dotato di funzionalità senza file

Una delle caratteristiche più importanti di BunnyLoader, evidenziata dal suo autore PLAYER_BUNNY (noto anche come PLAYER_BL), è la sua capacità di caricamento senza file, che rende difficile per i programmi antivirus rimuovere il codice dannoso.

Il pannello C2 offre agli acquirenti opzioni per monitorare le attività attive, le statistiche sulle infezioni, il numero totale di host connessi e inattivi e i registri relativi ai dati rubati. Fornisce inoltre la possibilità di cancellare informazioni e controllare in remoto le macchine compromesse.

Inizialmente il metodo esatto utilizzato per distribuire BunnyLoader non è chiaro. Una volta installato su un sistema, il malware stabilisce la persistenza apportando modifiche al registro di Windows. Esegue quindi controlli per rilevare ambienti sandbox e macchine virtuali prima di eseguire attività dannose, come l'invio di richieste di attività a un server remoto e l'ottenimento delle risposte desiderate.

Queste attività comprendono attività come il download e l'esecuzione di malware secondario, l'esecuzione di keylogger e ladri di dati per raccogliere informazioni da app di messaggistica, client VPN e browser Web e reindirizzare i pagamenti in criptovaluta per trarre profitto da transazioni illecite. Il passaggio finale prevede il confezionamento dei dati raccolti in un archivio ZIP e la loro trasmissione a un server remoto.