Sikkerhedseksperter har opdaget endnu en Malware-as-a-service (MaaS) kaldet BunnyLoader, der annonceres til salg i den cyberkriminelle underverden.
"BunnyLoader giver forskellige funktionaliteter såsom at downloade og udføre en anden trinstørrelse, stjæle browserlegitimationer og systemoplysninger og meget mere," sagde Zscaler ThreatLabz-forskere Niraj Shivtarkar og Satyam Singh i en analyse offentliggjort sidste uge.
Zscaler ThreatLabz analyse af BunnyLoader
Blandt dens andre kapaciteter inkluderer udførelse af fjerntliggende kommandoer på den inficerede maskine, en tastetrykslogger til at fange tastetryk og en klippefunktion til at overvåge ofrets udklipsholder og erstatte indhold, der matcher cryptocurrency tegnebogsadresser, med skuespillerstyrede adresser.
En C/C++-baseret loader, der tilbydes til $250 for en livstidslicens, siges at have været under kontinuerlig udvikling siden sin debut den 4. september 2023, med nye funktioner og forbedringer, der inkorporerer anti-sandbox og antivirus undgåelsesteknikker.
Også fastsat som en del af opdateringer udgivet den 15. og 27. september 2023, er problemer med kommando- og kontrol (C2) samt "kritiske" SQL-injektionsfejl i C2-panelet, der ville have givet adgang til databasen. En afgørende salgsfaktor for BunnyLoader, ifølge forfatteren PLAYER_BUNNY (også kendt som PLAYER_BL), er dens filfri indlæsningsfunktion, der "gør det svært for antivirusser at fjerne angriberens malware."
C2-panelet giver købere mulighed for at overvåge aktive opgaver, infektionsstatistikker, det samlede antal tilsluttede og inaktive værter og stjælerlogs. Det giver også mulighed for at slette oplysninger og fjernstyre de kompromitterede maskiner.
Den præcise indledende adgangsmekanisme, der bruges til at distribuere BunnyLoader, er i øjeblikket uklar. Når den først er installeret, opretter malwaren vedvarende via en ændring i Windows-registreringsdatabasen og udfører en række sandbox- og virtuelle maskine-kontroller, før den aktiverer sin ondsindede adfærd ved at sende opgaveanmodninger til den fjerntliggende server og hente de ønskede svar.
Dette inkluderer Trojan Downloader-opgaver for at downloade og udføre næste trin i malware, Intruder for at køre tastetrykslogger og stjæle data fra beskedapps, VPN-klienter og webbrowsere og Clipper for at omdirigere cryptocurrency-betalinger og profitere af ulovlige transaktioner.
Den sidste fase indebærer at indkapsle alle de indsamlede data i en ZIP-arkiv og sende det til serveren. "BunnyLoader er en ny MaaS-trussel, der konstant udvikler deres taktikker og tilføjer nye funktioner for at udføre succesfulde kampagner mod deres mål," sagde forskerne.
Resultaterne følger opdagelsen af en anden Windows-baseret loader kaldet MidgeDropper, der sandsynligvis distribueres via phishing-e-mails for at levere en unavngiven anden-trinstørrelse fra en fjernserver.
Udviklingen kommer også i forbindelse med lanceringen af to nye malwares efterretningstyveristrækker ved navn Agniane Stealer og The-Murk-Stealer, der understøtter tyveri af en bred vifte af oplysninger fra brudte endepunkter.