Expertos en ciberseguridad han identificado BunnyLoader, una nueva amenaza de malware como servicio (MaaS) que se vende en el cibercrimen subterráneo.
BunnyLoader ofrece diversas capacidades, incluyendo la descarga y ejecución de cargas útiles de segunda etapa, el robo de credenciales e información del sistema, comandos remotos en la máquina infectada, un keylogger para registrar pulsaciones de teclado y una función de clipper que monitoriza el portapapeles de la víctima y sustituye las direcciones de criptomonedas por direcciones controladas por el atacante.
Este cargador basado en C/C se ofrece por $250 para una licencia de por vida y ha estado en desarrollo constante desde su lanzamiento el 4 de septiembre de 2023, incorporando características anti-sandbox y antivirus. Sin embargo, se han detectado problemas en el comando y control (C2) y fallos “críticos” de inyección SQL en el panel C2, que podrían haber permitido el acceso a la base de datos. Estos problemas se mencionan en las actualizaciones del 15 y 27 de septiembre de 2023.
BunnyLoader, según su autor PLAYER-BUNNY (alias PLAYER-BL), se destaca por su característica de carga sin archivos, lo que dificulta que los antivirus eliminen el malware de los atacantes.
El panel de control C2 proporciona opciones para que los compradores supervisen tareas activas, estadísticas de infecciones, el número total de hosts conectados e inactivos, y registros de robos. También permite purgar información y controlar de forma remota las máquinas comprometidas.
Aunque no está claro el mecanismo de acceso inicial utilizado para distribuir BunnyLoader, una vez que se instala, el malware establece la persistencia a través de cambios en el Registro de Windows y realiza una serie de pruebas en entornos de sandbox y máquinas virtuales antes de activar su comportamiento malicioso. Esto implica enviar solicitudes de tareas a un servidor remoto y recibir respuestas que ejecutan acciones, como la descarga y ejecución de malware en un escenario posterior (Tareas de Trojan Downloader), la ejecución de un keylogger (Tareas de Intruder), la recolección de datos de aplicaciones de mensajería, clientes VPN y navegadores web (Tareas de Silbatero), y el redireccionamiento de pagos de criptomonedas y transacciones ilícitas (Tareas de Clipper).
El último paso consiste en empaquetar todos los datos recopilados en un archivo ZIP y transmitirlos al servidor.
“BunnyLoader es una nueva amenaza MaaS que evoluciona constantemente sus tácticas y agrega nuevas características para llevar a cabo campañas exitosas contra sus objetivos”, advirtieron los investigadores.
Estos hallazgos se suman al descubrimiento de otro cargador basado en Windows llamado MidgeDropper, que probablemente se distribuye a través de correos electrónicos de phishing para entregar una carga útil de segunda etapa sin nombre desde un servidor remoto.
También es importante destacar el debut de dos nuevas cepas de malware de robo de información llamadas Agniane Stealer y The-Murk-Stealer, que respaldan el robo de una amplia gama de información de sistemas comprometidos.
Mientras que Agniane Stealer se ofrece como una suscripción mensual por $50, The-Murk-Stealer está disponible en GitHub con fines supuestamente educativos, lo que lo hace vulnerable al abuso por parte de otros actores de amenazas. Otros programas de robo de información alojados en GitHub incluyen Stealerium, Impost3r, Blank-Grabber, Nivistealer, Creal’s Robandor y cstealer.
A pesar de afirmar que su herramienta tiene propósitos educativos, el autor contradice esto al instar a no cargar el binario final en plataformas como VirusTotal (VT), donde las soluciones antivirus pueden detectar su firma, según Cyfirma.
Además de la proliferación de nuevos servicios de malware, los ciberdelincuentes también están mejorando las características de las plataformas MaaS existentes con cadenas de ataque actualizadas para evadir la detección por parte de las herramientas de seguridad. Un ejemplo es una variante del RedLine Stealer que utiliza un script de Windows Batch para lanzar el malware.
“El RedLine Stealer se está distribuyendo a través de varios medios y los actores de amenazas están haciendo cambios constantes en las técnicas para que pase desapercibido durante largos períodos de tiempo”, advierte la firma de ciberseguridad. “También se vende en foros subterráneos, lo que alienta a los ciberdelincuentes a llevar a cabo sus malas intenciones”.
fuente: thehackernews