„BunnnyLoader“ kenkėjiška programa, parduodama tamsiajame žiniatinklyje

Saugumo ekspertai neseniai atskleidė naują kenkėjiškų programų kaip paslaugos (MaaS) grėsmę, žinomą kaip BunnyLoader, kuri reklamuojama parduoti tamsiajame žiniatinklyje. Remiantis „Zscaler ThreatLabz“ tyrėjų analize, „BunnyLoader“ siūlo daugybę funkcijų, įskaitant antrinės naudingosios apkrovos atsisiuntimą ir vykdymą, naršyklės kredencialų ir sistemos informacijos vagystę, be kitų galimybių.

„BunnyLoader“, užkoduota C/C++, yra prieinama už vienkartinį 250 USD mokestį. Ji buvo aktyviai kuriama nuo pat debiuto 2023 m. rugsėjo 4 d. Kenkėjiška programa nuolat prideda naujų funkcijų ir patobulinimų, įskaitant metodus, kuriais galima išvengti antivirusinės programinės įrangos ir smėlio dėžės aplinkos.

2023 m. rugsėjo 15 d. ir rugsėjo 27 d. naujausi atnaujinimai išsprendė su komandų ir valdymo (C2) funkcionalumu susijusias problemas ir pašalino „kritinius“ SQL įpurškimo pažeidžiamumus C2 skydelyje, kurie galėjo suteikti neteisėtą prieigą prie duomenų bazės.

„BunnnyLoader“ yra su failų be failų galimybėmis

Viena iš svarbiausių „BunnyLoader“ savybių, kurią pabrėžė jos autorius PLAYER_BUNNY (taip pat žinomas kaip PLAYER_BL), yra jos įkėlimo be failų galimybė, todėl antivirusinėms programoms sunku pašalinti kenkėjišką kodą.

C2 skydelyje pirkėjams siūlomos galimybės stebėti aktyvias užduotis, infekcijų statistiką, bendrą prijungtų ir neaktyvių kompiuterių skaičių ir su pavogtais duomenimis susijusius žurnalus. Tai taip pat suteikia galimybę ištrinti informaciją ir nuotoliniu būdu valdyti pažeistus įrenginius.

Tikslus „BunnyLoader“ platinimo metodas iš pradžių lieka neaiškus. Įdiegta sistemoje, kenkėjiška programa užtikrina patvarumą atlikdama pakeitimus „Windows“ registre. Tada jis atlieka patikrinimus, kad aptiktų smėlio dėžės ir virtualiosios mašinos aplinkas prieš pradėdamas kenkėjišką veiklą, pvz., siųsdamas užduočių užklausas į nuotolinį serverį ir gaudamas norimus atsakymus.

Ši veikla apima tokias užduotis kaip antrinės kenkėjiškos programos atsisiuntimas ir vykdymas, klavišų registravimo ir duomenų vagių paleidimas, siekiant rinkti informaciją iš pranešimų siuntimo programų, VPN klientų ir žiniatinklio naršyklių, ir mokėjimų kriptovaliuta nukreipimas siekiant pasipelnyti iš neteisėtų operacijų. Paskutiniame etape surinkti duomenys supakuojami į ZIP archyvą ir perduodami į nuotolinį serverį.