Złośliwe oprogramowanie BunnnyLoader sprzedawane w ciemnej sieci
Eksperci ds. bezpieczeństwa odkryli niedawno nowe zagrożenie typu malware jako usługa (MaaS), znane jako BunnyLoader, które jest promowane do sprzedaży w ciemnej sieci. Według analizy przeprowadzonej przez badaczy z Zscaler ThreatLabz, BunnyLoader oferuje szereg funkcji, w tym między innymi pobieranie i wykonywanie dodatkowego ładunku, kradzież danych uwierzytelniających przeglądarki i informacji o systemie.
BunnyLoader, napisany w języku C/C++, jest dostępny za jednorazową opłatą w wysokości 250 dolarów i jest aktywnie rozwijany od debiutu 4 września 2023 r. Szkodnik stale dodaje nowe funkcje i ulepszenia, w tym techniki unikania oprogramowanie antywirusowe i środowiska sandbox.
W ostatnich aktualizacjach z 15 i 27 września 2023 r. rozwiązano problemy związane z funkcją dowodzenia i kontroli (C2) oraz usunięto „krytyczne” luki w zabezpieczeniach polegające na wstrzykiwaniu kodu SQL w panelu C2, które mogły zapewnić nieautoryzowany dostęp do bazy danych.
BunnnyLoader oferuje funkcje bezplikowe
Jedną z godnych uwagi funkcji BunnyLoadera, podkreśloną przez jego autora PLAYER_BUNNY (znanego również jako PLAYER_BL), jest możliwość ładowania bez plików, co utrudnia programom antywirusowym usunięcie złośliwego kodu.
Panel C2 oferuje kupującym opcje monitorowania aktywnych zadań, statystyk infekcji, całkowitej liczby podłączonych i nieaktywnych hostów oraz dzienników związanych ze skradzionymi danymi. Zapewnia także możliwość usuwania informacji i zdalnego sterowania zaatakowanymi maszynami.
Dokładna metoda dystrybucji BunnyLoadera początkowo pozostaje niejasna. Po zainstalowaniu w systemie złośliwe oprogramowanie utrwala się, dokonując zmian w rejestrze systemu Windows. Następnie przeprowadza kontrole w celu wykrycia środowisk piaskownicy i maszyn wirtualnych przed wykonaniem szkodliwych działań, takich jak wysłanie żądań zadań do zdalnego serwera i uzyskanie pożądanych odpowiedzi.
Działania te obejmują zadania takie jak pobieranie i uruchamianie wtórnego złośliwego oprogramowania, uruchamianie keyloggerów i programów kradnących dane w celu zbierania informacji z aplikacji do przesyłania wiadomości, klientów VPN i przeglądarek internetowych, a także przekierowywanie płatności w kryptowalutach w celu czerpania zysków z nielegalnych transakcji. Ostatnim krokiem jest spakowanie zebranych danych do archiwum ZIP i przesłanie ich na zdalny serwer.