Malware BunnyLoader vendido na Dark Web
Especialistas em segurança descobriram recentemente uma nova ameaça de malware como serviço (MaaS) conhecida como BunnyLoader, que está sendo promovida para venda na dark web. De acordo com uma análise de pesquisadores do Zscaler ThreatLabz, o BunnyLoader oferece uma gama de funções, incluindo download e execução de uma carga secundária, roubo de credenciais do navegador e informações do sistema, entre outros recursos.
BunnyLoader, que é codificado em C/C++, está disponível por uma taxa única de US$ 250 e está em desenvolvimento ativo desde sua estreia em 4 de setembro de 2023. O malware adiciona continuamente novos recursos e melhorias, incluindo técnicas para escapar software antivírus e ambientes sandbox.
Atualizações recentes em 15 e 27 de setembro de 2023 resolveram problemas relacionados à funcionalidade de comando e controle (C2) e abordaram vulnerabilidades “críticas” de injeção de SQL no painel C2 que poderiam ter fornecido acesso não autorizado ao banco de dados.
BunnyLoader vem com recursos sem arquivo
Um dos recursos notáveis do BunnyLoader, destacado por seu autor PLAYER_BUNNY (também conhecido como PLAYER_BL), é sua capacidade de carregamento sem arquivo, o que torna um desafio para os programas antivírus removerem o código malicioso.
O painel C2 oferece opções para os compradores monitorarem tarefas ativas, estatísticas de infecção, número total de hosts conectados e inativos e registros relacionados a dados roubados. Também oferece a capacidade de apagar informações e controlar remotamente máquinas comprometidas.
O método exato usado para distribuir o BunnyLoader inicialmente permanece obscuro. Uma vez instalado em um sistema, o malware estabelece persistência fazendo alterações no Registro do Windows. Em seguida, ele realiza verificações para detectar ambientes de sandbox e máquinas virtuais antes de realizar atividades maliciosas, como enviar solicitações de tarefas a um servidor remoto e obter as respostas desejadas.
Essas atividades abrangem tarefas como baixar e executar malware secundário, executar keyloggers e ladrões de dados para coletar informações de aplicativos de mensagens, clientes VPN e navegadores da web e redirecionar pagamentos de criptomoedas para lucrar com transações ilícitas. A etapa final envolve empacotar os dados coletados em um arquivo ZIP e transmiti-los a um servidor remoto.