Το κακόβουλο λογισμικό BunnyLoader στοχεύει προγράμματα περιήγησης και κρυπτονομίσματα

Το Zscaler ThreatLabz εντόπισε μια πρόσφατα αναδυόμενη απειλή Malware-as-a-Service (MaaS) γνωστή ως “BunnyLoader”, διαθέσιμη σε υπόγεια φόρουμ. Το εργαλείο, με τιμή 250 $, είναι ενεργά υπό ανάπτυξη, εξελίσσεται γρήγορα με διάφορες ενημερώσεις λειτουργιών και διορθώσεις σφαλμάτων.

Το BunnyLoader, κυρίως κωδικοποιημένο σε C/C++, είναι ένας φορτωτής χωρίς αρχεία που εκτελεί κακόβουλες δραστηριότητες στη μνήμη, καθιστώντας τον εντοπισμό πιο δύσκολο για τους ειδικούς στον τομέα της κυβερνοασφάλειας. Διαθέτει μια σειρά δυνατοτήτων, συμπεριλαμβανομένης της καταγραφής πληκτρολογίων, της παρακολούθησης του προχείρου για την παραβίαση διευθύνσεων πορτοφολιού κρυπτονομισμάτων και της απομακρυσμένης εκτέλεσης εντολών (RCE).

Από την αρχική του κυκλοφορία στις 4 Σεπτεμβρίου 2023, το BunnyLoader έγινε μάρτυρας πολλών επαναλήψεων, καθεμία από τις οποίες έφερε βελτιώσεις και διορθώσεις. Αυτές οι ενημερώσεις αντιμετωπίζουν σφάλματα, εισάγουν νέες λειτουργίες και προσαρμόζονται για να εμποδίζουν τις προσπάθειες ανάλυσης. Επιπλέον, το κακόβουλο λογισμικό προσφέρει τώρα επιλογές για αγορές ωφέλιμου φορτίου και στελέχους στα 250 $ και 350 $, αντίστοιχα.

Σύμφωνα με έναν συμβουλευτικός Δημοσιεύτηκε από το Zscaler την περασμένη Παρασκευή, ο πυρήνας των λειτουργιών του BunnyLoader περιστρέφεται γύρω από τον πίνακα εντολών και ελέγχου (C2), ο οποίος επιβλέπει διάφορες εργασίες, όπως λήψη και εκτέλεση πρόσθετου κακόβουλου λογισμικού, καταγραφή πληκτρολογίων, κλοπή διαπιστευτηρίων, χειρισμό προχείρου για κλοπή κρυπτονομισμάτων και απομακρυσμένη εκτέλεση εντολών (RCE).

Ο πίνακας C2 προσφέρει επίσης στατιστικά στοιχεία, παρακολούθηση πελατών και διαχείριση εργασιών, παρέχοντας στον παράγοντα απειλής εκτεταμένο έλεγχο σε μολυσμένα μηχανήματα.

Ο Zscaler εξήγησε επίσης ότι η τεχνική ανάλυση του BunnyLoader αποκάλυψε τους μηχανισμούς επιμονής, τις τακτικές anti-sandbox και τις αλληλεπιδράσεις με τους διακομιστές C2. Το κακόβουλο λογισμικό μπορεί να ανιχνεύσει εικονικά περιβάλλοντα και χρησιμοποιεί διάφορες τεχνικές για να αποφύγει την ανάλυση.

Συγκεκριμένα, το keylogger του κακόβουλου λογισμικού καταγράφει πληκτρολογήσεις και το στοιχείο κλοπής εκμεταλλεύεται ένα ευρύ φάσμα δεδομένων, συμπεριλαμβανομένων πληροφοριών από προγράμματα περιήγησης ιστού, πορτοφόλια κρυπτονομισμάτων και πελάτες VPN.

Διαβάστε περισσότερα για keyloggers: Το Keylogger σε Υπαλλήλους Οικιακού Υπολογιστή οδήγησε σε παραβίαση του LastPass 2022

Η μονάδα Clipper είναι ένα άλλο ενδιαφέρον χαρακτηριστικό που σαρώνει το πρόχειρο ενός θύματος για διευθύνσεις κρυπτονομισμάτων και τις αντικαθιστά με ελεγχόμενες διευθύνσεις πορτοφολιού. Αυτό επιτρέπει στους εισβολείς να εκτρέπουν τις συναλλαγές κρυπτονομισμάτων.

“Το BunnyLoader είναι μια νέα απειλή MaaS που εξελίσσει συνεχώς τις τακτικές τους και προσθέτει νέες δυνατότητες για να πραγματοποιήσει επιτυχημένες εκστρατείες εναντίον των στόχων τους”, έγραψαν οι ερευνητές ασφαλείας Niraj Shivtarkar και Satyam Singh. “Η ομάδα του Zscaler ThreatLabz θα συνεχίσει να παρακολουθεί αυτές τις επιθέσεις για να συμβάλει στην ασφάλεια των πελατών μας.”