Вредоносное ПО BunnnyLoader продается в темной сети
Эксперты по безопасности недавно обнаружили новую угрозу типа «вредоносное ПО как услуга» (MaaS), известную как BunnyLoader, которая продается в темной сети. Согласно анализу, проведенному исследователями из Zscaler ThreatLabz, BunnyLoader предлагает ряд функций, включая загрузку и выполнение вторичной полезной нагрузки, кражу учетных данных браузера и системной информации, а также другие возможности.
BunnyLoader, написанный на C/C++, доступен за единовременную плату в размере 250 долларов США и находится в активной разработке с момента его дебюта 4 сентября 2023 года. Вредоносное ПО постоянно добавляет новые функции и улучшения, включая методы обхода антивирусное программное обеспечение и изолированные среды.
Недавние обновления от 15 и 27 сентября 2023 г. устранили проблемы, связанные с функциональностью управления и контроля (C2), и исправили «критические» уязвимости внедрения SQL-кода в панели C2, которые могли обеспечить несанкционированный доступ к базе данных.
BunnnyLoader поддерживает безфайловые возможности
Одной из примечательных особенностей BunnyLoader, подчеркнутой его автором PLAYER_BUNNY (также известным как PLAYER_BL), является возможность безфайловой загрузки, из-за которой антивирусным программам сложно удалить вредоносный код.
Панель C2 предлагает покупателям возможность отслеживать активные задачи, статистику заражения, общее количество подключенных и неактивных хостов, а также журналы, связанные с украденными данными. Он также предоставляет возможность стирать информацию и удаленно управлять скомпрометированными машинами.
Точный метод, использованный для распространения BunnyLoader, изначально остается неясным. После установки в систему вредоносное ПО обеспечивает постоянство, внося изменения в реестр Windows. Затем он выполняет проверки для обнаружения изолированных сред и сред виртуальных машин перед выполнением вредоносных действий, таких как отправка запросов задач на удаленный сервер и получение желаемых ответов.
Эти действия включают в себя такие задачи, как загрузка и запуск вторичного вредоносного ПО, запуск кейлоггеров и похитителей данных для сбора информации из приложений для обмена сообщениями, VPN-клиентов и веб-браузеров, а также перенаправление платежей в криптовалюте для получения прибыли от незаконных транзакций. Последний шаг включает упаковку собранных данных в ZIP-архив и передачу его на удаленный сервер.