Исследователи кибербезопасности из Zscaler ThreatLabz обнаружилиновое вредоносное ПО BunnyLoader, которое распространяется по модели Malware-as-a-Service (MaaS) и продаётся на подпольных киберпреступных форумах.
Исследователи отметили, что BunnyLoader обладает различными функциями:
- Загрузка и выполнение вредоносного кода второго этапа.
- Кража учетных данных браузера и системной информации.
- Выполнение удаленных команд на зараженной машине.
- Регистрация нажатий клавиш (кейлоггинг).
- Функция клипера для отслеживания буфера обмена жертвы и замены содержимого, соответствующего адресам кошельков криптовалют, на адреса кошельков злоумышленников.
- Бесфайловая загрузка для затруднения удаления вредоносного ПО антивирусами ( Бесфайловое вредоносное ПО ).
- Настройка постоянного присутствия через изменение реестра Windows.
BunnyLoader, написанный на C/C++, предлагается за $250 за пожизненную лицензию. С момента его дебюта 4 сентября 2023 года, вредоносное ПО постоянно развивается, включая новые функции и улучшения, которые обеспечивают уклонение от антивирусов и песочниц.
Панель управления ” data-html=”true” data-original-title=”C2″ >C2-сервера (Command and Control Server) предлагает покупателям возможность мониторинга активных задач, статистики заражения, общего числа подключенных и неактивных хостов, а также журналов утилиты для кражи данных. Также предусмотрена возможность удаленного контроля скомпрометированными машинами.
Скриншот панели управления BunnyLoader
Точный механизм первоначального доступа, используемый для распространения BunnyLoader, на данный момент неясен. После установки вредоносное ПО настраивает постоянное присутствие через изменение реестра Windows и проводит ряд проверок на наличие песочниц и виртуальных машин, прежде чем активировать свои вредоносные действия, отправляя запросы задач на удаленный сервер и получая желаемые ответы.
Панель управления отображает список заражённых компьютеров
Отправляемые задачи включают загрузку и выполнение вредоносного ПО следующего этапа, запуск кейлоггера и утилиты для кражи данных из мессенджеров, VPN-клиентов и веб-браузеров, а также перенаправление платежей в криптовалютах и получение прибыли от незаконных транзакций. Последний этап включает в себя инкапсуляцию всех собранных данных в архив ZIP и передачу его на сервер.
Исследователи подчеркивают, что BunnyLoader – это новая MaaS-сервис, который постоянно развивает свои тактики и добавляет новые функции для успешного проведения кампаний против своих целей.