Ειδικοί στην κυβερνοασφάλεια ανακάλυψαν μια ακόμη απειλή Malware-as-a-Service, που ονομάζεται BunnyLoader, και διαφημίζεται προς πώληση σε διάφορα forum κυβερνοέγκληματος που υπάρχουν στο dark web.
“Το BunnyLoader παρέχει διάφορες λειτουργίες, όπως λήψη και εκτέλεση ωφέλιμου φορτίου δεύτερου σταδίου, κλοπή browser credentials και πληροφοριών συστήματος και πολλά άλλα”, δήλωσαν οι ερευνητές του Zscaler ThreatLabz, Niraj Shivtarkar και Satyam Singh σε μια ανάλυση που δημοσιεύθηκε την περασμένη εβδομάδα.
Μεταξύ των άλλων δυνατοτήτων του περιλαμβάνονται η εκτέλεση απομακρυσμένων εντολών στο μολυσμένο μηχάνημα, ένα keylogger για την καταγραφή πλήκτρων και μια λειτουργία clipper για την παρακολούθηση του clipboard του θύματος και την αντικατάσταση περιεχομένου που ταιριάζει με διευθύνσεις πορτοφολιού κρυπτονομισμάτων με διευθύνσεις που ελέγχονται από τον δράστη.
Ένας loader βασισμένος σε C/C++ που προσφέρεται για 250 $ για μια άδεια εφ’ όρου ζωής, το malware λέγεται ότι βρίσκεται υπό συνεχή ανάπτυξη από την πρώτη του εμφάνιση στις 4 Σεπτεμβρίου 2023, με νέες δυνατότητες και βελτιώσεις που ενσωματώνουν τεχνικές κατά του sandbox και προστασίας antivirus.
Επίσης, επιδιορθώθηκαν ως μέρος των ενημερώσεων που κυκλοφόρησαν στις 15 Σεπτεμβρίου και στις 27 Σεπτεμβρίου 2023, ζητήματα με τις εντολές και τον έλεγχο (C2) καθώς και “κρίσιμα” ελαττώματα SQL injection στον πίνακα C2 που θα είχαν παραχωρήσει πρόσβαση στη βάση δεδομένων.
Ένα βασικό σημείο πώλησης του BunnyLoader, σύμφωνα με τον συγγραφέα PLAYER_BUNNY (γνωστός και ως PLAYER_BL), είναι η δυνατότητα fileless loading που “καθιστά δύσκολο για τα προγράμματα antivirus να αφαιρέσουν το malware”.
Το C2 panel παρέχει επιλογές στους αγοραστές για την παρακολούθηση ενεργών task, των στατιστικών infection, του συνολικού αριθμού συνδεδεμένων και ανενεργών κόμβων, καθώς και των stealer logs. Επιπλέον, παρέχει τη δυνατότητα εκκαθάρισης πληροφοριών και απομακρυσμένου ελέγχου των μηχανημάτων που έχουν παραβιαστεί.
Η ακριβής αρχική μέθοδος πρόσβασης που χρησιμοποιείται για τη διανομή του BunnyLoader είναι ακόμη ασαφής. Μόλις εγκατασταθεί, το κακόβουλο λογισμικό δημιουργεί μόνιμη παρουσία μέσω αλλαγής του Windows Registry και πραγματοποιεί μια σειρά ελέγχων sandbox και virtual machine πριν ενεργοποιήσει την κακόβουλη συμπεριφορά του, αποστέλλοντας αιτήματα εργασίας στον απομακρυσμένο διακομιστή και λαμβάνοντας τις επιθυμητές απαντήσεις.
Αυτό περιλαμβάνει εργασίες Trojan Downloader για να κατεβάσει και να εκτελέσει malware σε επόμενο στάδιο, το Intruder για να εκτελέσει keylogger και stealer για τη συλλογή δεδομένων από εφαρμογές ανταλλαγής μηνυμάτων, VPN clients και web browsers, και το Clipper για να ανακατευθύνει πληρωμές κρυπτονομισμάτων.
Το τελικό βήμα περιλαμβάνει το encapsulating όλων των συλλεγμένων δεδομένων σε ένα αρχείο ZIP και τη μετάδοσή του στον server.
“Το BunnyLoader είναι μια νέα απειλή MaaS που εξελίσσει συνεχώς τις τακτικές τους και προσθέτει νέα χαρακτηριστικά για να πραγματοποιήσει επιτυχημένες εκστρατείες εναντίον των στόχων τους”, δήλωσαν οι ερευνητές.
Οι κυβερνοεγκληματίες δεν προσφέρουν μόνο νέες υπηρεσίες κακόβουλου λογισμικού, αλλά επίσης ενισχύουν τα χαρακτηριστικά των υπαρχόντων πλατφορμών MaaS με ενημερωμένες αλυσίδες επιθέσεων για να αποφύγουν την ανίχνευση από εργαλεία ασφαλείας. Αυτό περιλαμβάνει μια παραλλαγή του RedLine Stealer που χρησιμοποιεί ένα Windows Batch script για να εκτελέσει το malware.
Πηγή πληροφοριών: thehackernews.com
