BunnnyLoader Malware som säljs på den mörka webben
Säkerhetsexperter har nyligen upptäckt ett nytt malware-as-a-service-hot (MaaS) känt som BunnyLoader, som marknadsförs för försäljning på den mörka webben. Enligt en analys av forskare från Zscaler ThreatLabz erbjuder BunnyLoader en rad funktioner, inklusive nedladdning och exekvering av en sekundär nyttolast, stjäla webbläsaruppgifter och systeminformation, bland andra funktioner.
BunnyLoader, som är kodad i C/C++, är tillgänglig för en engångsavgift på $250, och den har varit i aktiv utveckling sedan debuten den 4 september 2023. Skadlig programvara lägger kontinuerligt till nya funktioner och förbättringar, inklusive tekniker för att undvika antivirusprogram och sandlådemiljöer.
De senaste uppdateringarna den 15 september och 27 september 2023 löste problem relaterade till kommando-och-kontroll-funktionalitet (C2) och åtgärdade "kritiska" SQL-injektionssårbarheter i C2-panelen som kunde ha gett obehörig åtkomst till databasen.
BunnnyLoader kommer med fillösa funktioner
En av BunnyLoaders anmärkningsvärda funktioner, framhävd av dess författare PLAYER_BUNNY (även känd som PLAYER_BL), är dess fillösa laddningsförmåga, vilket gör det utmanande för antivirusprogram att ta bort den skadliga koden.
C2-panelen erbjuder alternativ för köpare att övervaka aktiva uppgifter, infektionsstatistik, det totala antalet anslutna och inaktiva värdar och loggar relaterade till stulen data. Det ger också möjlighet att radera information och fjärrstyra komprometterade maskiner.
Den exakta metoden som användes för att distribuera BunnyLoader är initialt oklart. När den väl har installerats på ett system etablerar den skadliga programvaran persistens genom att göra ändringar i Windows-registret. Den utför sedan kontroller för att upptäcka miljöer för sandlådor och virtuella maskiner innan den utför skadliga aktiviteter, som att skicka uppgiftsbegäranden till en fjärrserver och få önskade svar.
Dessa aktiviteter omfattar uppgifter som att ladda ner och köra sekundär skadlig programvara, köra keyloggers och datastölder för att samla in information från meddelandeappar, VPN-klienter och webbläsare, och omdirigera kryptovalutabetalningar för att dra nytta av otillåtna transaktioner. Det sista steget innebär att paketera den insamlade datan i ett ZIP-arkiv och överföra den till en fjärrserver.
