Los expertos en ciberseguridad han descubierto otra amenaza de malware como servicio ( MaaS ) llamada BunnyLoader que se anuncia para su venta en el mundo del cibercrimen.
«BunnyLoader proporciona varias funcionalidades, como descargar y ejecutar una carga útil de segunda etapa, robar credenciales del navegador e información del sistema, y mucho más», dijeron los investigadores de Zscaler ThreatLabz, Niraj Shivtarkar y Satyam Singh, en un análisis publicado la semana pasada.
Entre sus otras capacidades se incluyen la ejecución de comandos remotos en la máquina infectada, un registrador de teclas para capturar las pulsaciones de teclas y una funcionalidad de clipper para monitorear el portapapeles de la víctima y reemplazar el contenido que coincida con las direcciones de billeteras de criptomonedas con direcciones controladas por el actor.
Cargador basado en AC/C++ ofrecido por $250 por una licencia de por vida, se dice que el malware ha estado en desarrollo continuo desde su debut el 4 de septiembre de 2023, con nuevas características y mejoras que incorporan técnicas de evasión antivirus y anti-sandbox.
También se solucionaron, como parte de las actualizaciones publicadas el 15 y 27 de septiembre de 2023, problemas con el comando y control (C2), así como fallas «críticas» de inyección de SQL en el panel C2 que habrían otorgado acceso a la base de datos.
Un punto clave de venta de BunnyLoader, según el autor PLAYER_BUNNY (también conocido como PLAYER_BL), es su función de carga sin archivos que «dificulta que los antivirus eliminen el malware de los atacantes».
El panel C2 ofrece opciones para que los compradores supervisen las tareas activas, las estadísticas de infección, el número total de hosts conectados e inactivos y los registros de ladrones. También proporciona la capacidad de purgar información y controlar de forma remota las máquinas comprometidas.
El mecanismo exacto de acceso inicial utilizado para distribuir BunnyLoader no está claro actualmente. Una vez instalado, el malware configura la persistencia a través de un cambio en el Registro de Windows y realiza una serie de comprobaciones de la zona de pruebas y de la máquina virtual antes de activar su comportamiento malicioso enviando solicitudes de tareas al servidor remoto y obteniendo las respuestas deseadas.
Esto incluye tareas de Trojan Downloader para descargar y ejecutar malware de siguiente etapa, Intruder para ejecutar keylogger y ladrón para recopilar datos de aplicaciones de mensajería, clientes VPN y navegadores web, y Clipper para redirigir pagos en criptomonedas y beneficiarse de transacciones ilícitas.
El último paso consiste en encapsular todos los datos recopilados en un archivo ZIP y transmitirlos al servidor.
«BunnyLoader es una nueva amenaza MaaS que evoluciona continuamente sus tácticas y agrega nuevas características para llevar a cabo campañas exitosas contra sus objetivos», dijeron los investigadores.
Los hallazgos siguen al descubrimiento de otro cargador basado en Windows llamado MidgeDropper que probablemente se distribuye a través de correos electrónicos de phishing para entregar una carga útil de segunda etapa sin nombre desde un servidor remoto.
El desarrollo también se produce en medio del debut de dos nuevas cepas de malware ladrón de información llamadas Agniane Stealer y The-Murk-Stealer que respaldan el robo de una amplia gama de información de puntos finales violados.
Si bien Agniane Stealer está disponible como suscripción mensual por $50, este último está disponible en GitHub con fines supuestamente educativos, lo que lo hace propicio para el abuso por parte de otros actores de amenazas. Algunos de los otros ladrones alojados en GitHub incluyen Stealerium, Impost3r, Blank-Grabber, Nivistealer, Creal-stealer y cstealer.
«Si bien afirma que la herramienta tiene fines educativos, la contradicción del autor surge al instar a no cargar el binario final en plataformas como VirusTotal (VT), donde las soluciones antivirus pueden detectar su firma», dijo Cyfirma.
No se trata solo de nuevos servicios de malware, ya que los ciberdelincuentes también están aumentando las funciones de las plataformas MaaS existentes con cadenas de ataque actualizadas para evadir la detección de las herramientas de seguridad. Esto incluye una variante de RedLine Stealer que emplea un script de Windows Batch para iniciar el malware.
«[RedLine Stealer] se está distribuyendo por diversos medios y los actores de amenazas realizan cambios continuos en las técnicas para hacerlo indetectable durante un período prolongado de tiempo», dijo la firma de ciberseguridad . «También se vende en foros clandestinos y anima a los ciberdelincuentes a llevar a cabo sus malvadas intenciones».
Fuente y redacción: thehackernews.com