Eexpertos en ciberseguridad han identificado una nueva amenaza conocida como «BunnyLoader«, un servicio de malware enmarcado como MaaS (Malware-as-a-Service). Según el análisis reciente publicado por Niraj Shivtarkar y Satyam Singh, investigadores de Zscaler ThreatLabz, BunnyLoader ofrece una serie de funcionalidades, que incluyen la descarga y ejecución de un segundo payload, la extracción de credenciales de navegadores e información del sistema, entre otras.

Este loader basado en C/C++ se ofrece a un precio de $250 con una licencia de por vida. Desde su debut el 4 de septiembre de 2023, ha estado en desarrollo constante, incorporando nuevas características y mejoras, incluyendo técnicas para evadir antivirus y sandboxes a las que ofrecía anteriormente, como la ejecución de comandos remotos, un keylogger y una función de clipper para monitorear el portapapeles y reemplazar contenido que coincida con direcciones de billeteras de criptomonedas por direcciones controladas por los atacantes.

Además, se han corregido problemas críticos en las actualizaciones lanzadas el 15 y el 27 de septiembre de 2023, como fallos en el panel de control de comando y control (C2) y vulnerabilidades de inyección SQL que podrían haber permitido el acceso a la base de datos.

Uno de los aspectos destacados de BunnyLoader es según su propio autor PLAYER_BUNNY (también conocido como PLAYER_BL) su capacidad de carga sin archivos, lo que dificulta que los antivirus eliminen el malware de los atacantes.

El panel C2 proporciona a los compradores opciones para monitorear tareas activas, estadísticas de infección y registros de robo, además de permitir el control remoto de las máquinas comprometidas y la purga de información.

Aunque aún no está claro cómo se distribuye BunnyLoader inicialmente, una vez que infecta un sistema, establece su persistencia mediante un cambio en el Registro de Windows y verifica si se encuentra en un entorno de sandbox o máquina virtual antes de comenzar su comportamiento malicioso. Esto incluye la descarga de troyanos para ejecutar malware de segunda etapa, el uso de un keylogger llamado Intruder, la recopilación de datos de aplicaciones de mensajería, clientes de VPN y navegadores web, y la función Clipper para redirigir pagos de criptomonedas hacia direcciones controladas por los atacantes. Finalmente, todos los datos recopilados se encapsulan en un archivo ZIP y se envían al servidor.

«BunnyLoader es una nueva amenaza MaaS que está evolucionando constantemente sus tácticas y agregando nuevas características para llevar a cabo campañas exitosas contra sus objetivos»

Niraj Shivtarkar y Satyam Singh, investigadores de Zscaler ThreatLabz

Esto se suma al descubrimiento de otro loader basado en Windows llamado MidgeDropper, que probablemente se distribuye a través de correos electrónicos de phishing.

Además, se han presentado dos nuevas cepas de malware de roba-información: Agniane Stealer y The-Murk-Stealer, que permiten el robo de una amplia gama de información de sistemas comprometidos. Aunque Agniane Stealer se ofrece como una suscripción mensual por $50, el segundo está disponible en GitHub supuestamente con fines educativos, lo que podría abrir la puerta a su uso malicioso. Algunos de los otros roba-información alojados en GitHub incluyen Stealerium, Impost3r, Blank-Grabber, Nivistealer, Creal-stealer y cstealer.

En este contexto, PLAYER_BUNNY, insta a no subir el archivo binario final a plataformas como VirusTotal (VT) para evitar que las soluciones antivirus detecten su firma, lo que genera una contradicción con sus afirmaciones sobre fines educativos, según Cyfirma.

Este aumento en la sofisticación y proliferación de servicios de malware resalta la constante evolución de las amenazas cibernéticas, con cibercriminales que también mejoran las características de las plataformas de MaaS existentes para eludir la detección por parte de las herramientas de seguridad. Esto incluye por ejemplo, una variante de RedLine Stealer que emplea un script de Windows Batch para ejecutar el malware.

«[RedLine Stealer] se distribuye de diversas formas y los actores maliciosos continúan realizando cambios en las técnicas para que no sea detectable durante un período prolongado. También se vende en foros clandestinos y anima a los cibercriminales a llevar a cabo sus malas intenciones»

Afirma cyfirma

Más información:

• https://www.zscaler.com/blogs/security-research/bunnyloader-newest-malware-service
• https://flashpoint.io/blog/malware-loaders-continue-to-evolve-proliferate/
• https://www.fortinet.com/blog/threat-research/new-midgedropper-variant
• https://www.zscaler.com/blogs/security-research/agniane-stealer-dark-web-s-crypto-threat
• https://www.cyfirma.com/outofband/the-thin-line-educational-tools-vs-malicious-threats-a-focus-on-the-murk-stealer/
• https://github.com/Nick-Vinesmoke/The-Murk-stealer
• https://www.cyfirma.com/outofband/redline-stealer-a-new-variant-surfaces-deploying-using-batch-script/

 Fuentes:

https://unaaldia.hispasec.com/2023/10/bunnyloader-un-nuevo-malware-as-a-service-que-muestra-la-sofisticacion-de-este-tipo-de-servicios.html