ダークウェブで販売されている BunnnyLoader マルウェア
セキュリティ専門家は最近、ダーク Web で販売が促進されている BunnyLoader として知られる新しいサービスとしてのマルウェア (MaaS) の脅威を発見しました。 Zscaler ThreatLabz の研究者による分析によると、BunnyLoader は、セカンダリ ペイロードのダウンロードと実行、ブラウザの資格情報やシステム情報の盗用など、さまざまな機能を提供します。
BunnyLoader は C/C++ でコーディングされており、250 ドルの 1 回限りの料金で利用でき、2023 年 9 月 4 日のデビュー以来、活発に開発が続けられています。このマルウェアは、継続的に新機能と改善を追加しており、これを回避するテクニックも含まれています。ウイルス対策ソフトウェアとサンドボックス環境。
2023 年 9 月 15 日と 9 月 27 日の最近の更新では、コマンド アンド コントロール (C2) 機能に関連する問題が解決され、データベースへの不正アクセスを引き起こす可能性がある C2 パネルの「重大な」SQL インジェクションの脆弱性に対処されました。
BunnnyLoader にはファイルレス機能が付属しています
BunnyLoader の注目すべき機能の 1 つは、作成者 PLAYER_BUNNY (PLAYER_BL としても知られる) によって強調されているファイルレス ロード機能であり、これによりウイルス対策プログラムが悪意のあるコードを削除することが困難になります。
C2 パネルでは、購入者がアクティブなタスク、感染統計、接続されているホストと非アクティブなホストの総数、および盗まれたデータに関連するログを監視するためのオプションが提供されます。また、情報を消去したり、侵害されたマシンをリモートで制御したりする機能も提供します。
BunnyLoader の配布に当初使用された正確な方法は不明のままです。マルウェアはシステムにインストールされると、Windows レジストリに変更を加えて永続性を確立します。次に、リモート サーバーにタスク リクエストを送信して必要な応答を取得するなど、悪意のあるアクティビティを実行する前に、サンドボックス環境と仮想マシン環境を検出するためのチェックを実行します。
これらのアクティビティには、二次的なマルウェアのダウンロードと実行、メッセージング アプリ、VPN クライアント、Web ブラウザから情報を収集するためのキーロガーやデータ スティーラーの実行、違法な取引から利益を得るために暗号通貨の支払いをリダイレクトするなどのタスクが含まれます。最後のステップでは、収集したデータを ZIP アーカイブにパッケージ化し、リモート サーバーに送信します。