Οι ερευνητές ασφαλείας ανακάλυψαν ένα νέο κακόβουλο λογισμικό ως υπηρεσία (MaaS) με το όνομα «BunnyLoader» που διαφημίζεται σε πολλά φόρουμ χάκερ ως φορτωτής χωρίς αρχεία που μπορεί να κλέψει και να αντικαταστήσει τα περιεχόμενα του προχείρου συστήματος.
Το κακόβουλο λογισμικό βρίσκεται υπό ταχεία ανάπτυξη, με ενημερώσεις που προσθέτουν νέες δυνατότητες και διορθώσεις σφαλμάτων. Επί του παρόντος, μπορεί να κατεβάσει και να εκτελέσει ωφέλιμα φορτία, κλειδιά καταγραφής, να κλέψει ευαίσθητα δεδομένα και κρυπτονομίσματα και να εκτελέσει απομακρυσμένες εντολές.
Η πρώτη έκδοση του BunnyLoader εμφανίστηκε στις 4 Σεπτεμβρίου. Από τότε, οι προγραμματιστές του πρόσθεσαν περισσότερες λειτουργίες, όπως πολλαπλούς μηχανισμούς κατά της ανίχνευσης και επιπλέον δυνατότητες κλοπής πληροφοριών, κυκλοφορώντας μια δεύτερη σημαντική έκδοση προς το τέλος του μήνα.
Ερευνητές της εταιρείας ασφάλειας
cloud
Zscaler σημειώνουν ότι το BunnyLoader γίνεται γρήγορα δημοφιλές μεταξύ των εγκληματιών του κυβερνοχώρου ως κακόβουλο λογισμικό πλούσιο σε χαρακτηριστικά διαθέσιμο σε χαμηλή τιμή.
Το BunnyLoader προωθείται στο φόρουμ χάκερ
(Zscaler)
Επισκόπηση BunnyLoader
Ο πίνακας εντολών και ελέγχου του BunnyLoader επιτρέπει ακόμη και σε εγκληματίες του κυβερνοχώρου χαμηλής ειδίκευσης να ορίσουν ένα ωφέλιμο φορτίο δεύτερου σταδίου, να ενεργοποιήσουν την καταγραφή πλήκτρων, την κλοπή διαπιστευτηρίων, τη χειραγώγηση του πρόχειρου (για την κλοπή κρυπτονομισμάτων) και την εκτέλεση απομακρυσμένων εντολών σε μολυσμένες συσκευές.
Οι κύριες λειτουργίες κακόβουλου λογισμικού είναι άμεσα διαθέσιμες μέσω του πίνακα
(Zscaler)
Σε μια πρόσφατη
κανω ΑΝΑΦΟΡΑ
οι ερευνητές λένε ότι αφού εκτελεστεί σε μια παραβιασμένη συσκευή, το BunnyLoader δημιουργεί μια νέα τιμή στο μητρώο των Windows για
επιμονή
, αποκρύπτει το παράθυρό του, ορίζει ένα mutex για να αποφύγει πολλαπλές εμφανίσεις του και καταχωρεί το θύμα στον πίνακα ελέγχου.
Τα θύματα αναφέρονται στον πίνακα
(Zscaler)
Το κακόβουλο λογισμικό εκτελεί αρκετούς ελέγχους για να προσδιορίσει εάν εκτελείται σε περιβάλλον δοκιμών ή προσομοιωμένο περιβάλλον και εκτελεί ένα ψεύτικο σφάλμα ασυμβατότητας
αρχιτεκτονική
ς εάν το αποτέλεσμα είναι θετικό.
Εκτός από τις προαναφερθείσες λειτουργίες, το κακόβουλο λογισμικό διαθέτει επίσης ενότητες για την κλοπή δεδομένων που είναι αποθηκευμένα σε προγράμματα περιήγησης ιστού (κωδικοί πρόσβασης, πιστωτικές κάρτες, ιστορικό περιήγησης), πορτοφόλια κρυπτονομισμάτων, VPN, εφαρμογές ανταλλαγής μηνυμάτων και πολλά άλλα, λειτουργώντας ουσιαστικά ως τυπικός κλέφτης πληροφοριών.
Όλα τα κλεμμένα δεδομένα συμπιέζονται σε ένα αρχείο ZIP προτού διεξαχθούν στον διακομιστή εντολών και ελέγχου (C2) του παράγοντα απειλής.
Δεδομένα που εξήχθησαν από το BunnyLoader
(Zscaler)
Σύμφωνα με τους ερευνητές, το BunnyLoader υποστηρίζει την εγγραφή ωφέλιμων φορτίων στο δίσκο πριν από την εκτέλεσή τους και μπορεί επίσης να τα τρέξει από τη μνήμη του συστήματος (χωρίς αρχείο) χρησιμοποιώντας την τεχνική δι
εργασία
ς hollowing.
Γρήγορη ανάπτυξη
Το Zscaler παρακολούθησε την ανάπτυξη και τις ανακοινώσεις του κακόβουλου λογισμικού σε πολλά φόρουμ hacking και παρατήρησε ότι πέρασε από πολλές ενημερώσεις από την αρχική του κυκλοφορία.
Ακολουθεί μια σύνοψη του χρονοδιαγράμματος ανάπτυξης του BunnyLoader:
-
v1.0 (4 Σεπτεμβρίου)
: Αρχική έκδοση. -
v1.1 (5 Σεπτεμβρίου)
: Διορθώθηκε το σφάλμα πελάτη, εισήχθη η συμπίεση αρχείων καταγραφής πριν από τη μεταφόρτωση και προστέθηκε η εντολή “pwd” για το αντίστροφο κέλυφος. -
v1.2 (6 Σεπτεμβρίου)
: Βελτιωμένο πρόγραμμα κλοπής με ανάκτηση ιστορικού προγράμματος περιήγησης, ανάκτηση διακριτικού ταυτότητας NGRok και υποστηριζόμενες πρόσθετες διαδρομές του προγράμματος περιήγησης Chromium. -
v1.3 (9 Σεπτεμβρίου)
: Προστέθηκε ανάκτηση πιστωτικών καρτών για 16 τύπους καρτών και διορθώθηκαν σφάλματα C2. -
v1.4 (10 Σεπτεμβρίου)
: Εφαρμοσμένη AV αποφυγή. -
v1.5 (11 Σεπτεμβρίου)
: Εισήγαγε την ανάκτηση VPN σε stealer, διορθώσεις σφαλμάτων φορτωτή χωρίς αρχεία και βελτιστοποιήσεις φόρτωσης αρχείων καταγραφής. -
v1.6 (12 Σεπτεμβρίου)
: Προστέθηκαν τεχνικές προβολής ιστορικού λήψεων και anti-sandbox. -
v1.7 (15 Σεπτεμβρίου)
: Ενισχυμένη αποφυγή AV. -
v1.8 (15 Σεπτεμβρίου)
: Εφαρμόστηκε η λειτουργία keylogger και επιλύθηκαν διάφορα σφάλματα. -
v1.9 (17 Σεπτεμβρίου)
: Βελτιωμένο πρόγραμμα κλοπής με ανάκτηση παιχνιδιών, περισσότερες διαδρομές του προγράμματος περιήγησης Chromium και προστέθηκε ανάκτηση πορτοφολιού επιτραπέζιου υπολογιστή. -
v2.0 (27 Σεπτεμβρίου)
: Ενημερώθηκε το C2 GUI, διορθώθηκαν κρίσιμα τρωτά σημεία, συμπεριλαμβανομένων των SQL injection και XSS, εισήχθη η ανίχνευση απόπειρας εκμετάλλευσης και περαιτέρω βελτιστοποιημένες λειτουργίες stealer και loader χωρίς αρχεία.
Στην τρέχουσα κατάστασή του, το BunnyLoader πωλείται για 250 $, ενώ η έκδοση “ιδιωτικού στελέχους”, η οποία διαθέτει ισχυρότερη αντιανάλυση, έγχυση στη μνήμη, AV evasion και πρόσθετους μηχανισμούς επιμονής, πωλείται για 350 $.
Αυτή η χαμηλή τιμή, σε συνδυασμό με τον γρήγορο κύκλο ανάπτυξης, καθιστούν το BunnyLoader μια προσοδοφόρα επιλογή για εγκληματίες του κυβερνοχώρου που αναζητούν πρώιμες συμφωνίες για αναδυόμενα έργα κακόβουλου λογισμικού προτού αποκτήσουν εξέχουσα θέση και αυξήσουν τα ποσοστά τους.
Η αναφορά του Zscaler
παρέχει τεχνικές λεπτομέρειες που μπορούν να βοηθήσουν στην ανίχνευση του κακόβουλου λογισμικού προτού εδραιώσει την ανθεκτικότητά του, καθώς και δείκτες συμβιβασμού που θα μπορούσαν να αποτρέψουν μια μόλυνση.