BunnnyLoader Malware selges på Dark Web
Sikkerhetseksperter har nylig avdekket en ny malware-as-a-service (MaaS) trussel kjent som BunnyLoader, som markedsføres for salg på det mørke nettet. Ifølge en analyse fra forskere fra Zscaler ThreatLabz tilbyr BunnyLoader en rekke funksjoner, inkludert nedlasting og utføring av en sekundær nyttelast, stjele nettleserlegitimasjon og systeminformasjon, blant andre funksjoner.
BunnyLoader, som er kodet i C/C++, er tilgjengelig for en engangsavgift på $250, og den har vært i aktiv utvikling siden debuten 4. september 2023. Skadevaren legger kontinuerlig til nye funksjoner og forbedringer, inkludert teknikker for å unngå antivirusprogramvare og sandkassemiljøer.
Nylige oppdateringer 15. september og 27. september 2023 løste problemer knyttet til kommando-og-kontroll-funksjonalitet (C2) og adresserte "kritiske" SQL-injeksjonssårbarheter i C2-panelet som kunne gitt uautorisert tilgang til databasen.
BunnnyLoader kommer med filløse muligheter
En av BunnyLoaders bemerkelsesverdige funksjoner, fremhevet av forfatteren PLAYER_BUNNY (også kjent som PLAYER_BL), er dens filløse lasteevne, noe som gjør det utfordrende for antivirusprogrammer å fjerne den skadelige koden.
C2-panelet tilbyr muligheter for kjøpere til å overvåke aktive oppgaver, infeksjonsstatistikk, totalt antall tilkoblede og inaktive verter og logger relatert til stjålne data. Det gir også muligheten til å slette informasjon og fjernstyre kompromitterte maskiner.
Den nøyaktige metoden som ble brukt for å distribuere BunnyLoader er i utgangspunktet fortsatt uklar. Når den er installert på et system, etablerer skadelig programvare utholdenhet ved å gjøre endringer i Windows-registeret. Den utfører deretter kontroller for å oppdage miljøer for sandkasse og virtuelle maskiner før den utfører ondsinnede aktiviteter, for eksempel å sende oppgaveforespørsler til en ekstern server og oppnå ønskede svar.
Disse aktivitetene omfatter oppgaver som å laste ned og utføre sekundær skadelig programvare, kjøre nøkkelloggere og datatyvere for å samle informasjon fra meldingsapper, VPN-klienter og nettlesere, og omdirigere kryptovalutabetalinger for å tjene på ulovlige transaksjoner. Det siste trinnet innebærer å pakke de innsamlede dataene inn i et ZIP-arkiv og overføre dem til en ekstern server.
