Pesquisadores de segurança descobriram um novo malware-as-a-service (MaaS) chamado 'BunnyLoader', anunciado em vários fóruns de hackers como um carregador sem arquivo que pode roubar e substituir o conteúdo da área de transferência do sistema.
O malware está em rápido desenvolvimento, com atualizações adicionando novos recursos e correções de bugs.
Atualmente, ele pode baixar e executar payloads, registrar teclas, roubar dados sensíveis e criptomoedas e executar comandos remotos.
A primeira versão do BunnyLoader surgiu em 4 de setembro.
Desde então, seus desenvolvedores adicionaram mais funções, como múltiplos mecanismos anti-detecção e capacidades extras de roubo de informações, lançando uma segunda versão principal no final do mês.
Pesquisadores da empresa de segurança em nuvem Zscaler observam que o BunnyLoader está se tornando rapidamente popular entre os cibercriminosos como um malware rico em recursos disponível por um preço baixo.
O painel de comando e controle do BunnyLoader permite que até mesmo cibercriminosos com baixa qualificação definam uma segunda fase de payload, habilitem o registro de teclas, o roubo de credenciais, a manipulação da área de transferência (para o roubo de criptomoedas) e a execução de comandos remotos em dispositivos infectados.
Em um relatório recente, pesquisadores dizem que, após ser executado em um dispositivo comprometido, o BunnyLoader cria um novo valor no Registro do Windows para persistência, esconde sua janela, define um mutex para evitar múltiplas instâncias de si mesmo e registra a vítima no painel de controle.
O malware realiza várias verificações para determinar se está sendo executado em uma sandbox ou em um ambiente simulado e lança um erro de incompatibilidade de arquitetura falso se o resultado for positivo.
Além das funções mencionadas, o malware também apresenta módulos para roubar dados armazenados em navegadores da web (senhas, cartões de crédito, histórico de navegação), carteiras de criptomoedas, VPNs, aplicativos de mensagens e mais, atuando essencialmente como um ladrão de informações padrão.
Todos os dados roubados são comprimidos em um arquivo ZIP antes de serem exfiltrados para o servidor de comando e controle (C2) do ator da ameaça.
Segundo os pesquisadores, o BunnyLoader suporta a escrita de payload no disco antes de executá-las, e também pode executá-las a partir da memória do sistema (sem arquivo) usando a técnica de desbaste de processos.
A Zscaler monitorou o desenvolvimento do malware e os anúncios em múltiplos fóruns de hacking e percebeu que ele passou por inúmeras atualizações desde seu lançamento inicial.
Aqui está um resumo da linha do tempo do desenvolvimento do BunnyLoader:
v1.0 (4 de setembro): Lançamento inicial.
v1.1 (5 de setembro): Correção de bug do cliente, introdução da compressão de log antes do upload e adicionado o comando 'pwd' para shell reverso.
v1.2 (6 de setembro): Aperfeiçoou o stealer com recuperação do histórico do navegador, recuperação do token de autenticação do NGRok e suporte a caminhos adicionais do navegador Chromium.
v1.3 (9 de setembro): Adicionou recuperação de cartão de crédito para 16 tipos de cartões e corrigiu bugs do C2.
v1.4 (10 de setembro): Implementou evasão AV.
v1.5 (11 de setembro): Introduziu recuperação de VPN para o stealer, correções de bugs do carregador sem arquivo e otimizações de carregamento de log.
v1.6 (12 de setembro): Adicionou visualizador de histórico de downloads e técnicas anti-sandbox.
v1.7 (15 de setembro): Aprimorou a evasão AV.
v1.8 (15 de setembro): Implementou a funcionalidade do keylogger e resolveu vários bugs.
v1.9 (17 de setembro): Melhorou o stealer com recuperação de jogos, mais caminhos do navegador Chromium e adicionou uma recuperação de carteira de desktop.
v2.0 (27 de setembro): Atualizou a GUI do C2, corrigiu vulnerabilidades críticas, incluindo injeção SQL e XSS, introduziu detecção de tentativa de exploração e otimizou ainda mais as funcionalidades do stealer e do carregador sem arquivo.
Em seu estado atual, o BunnyLoader é vendido por $250, enquanto a versão "private stub", que possui uma anti-análise mais forte, injeção em memória, evasão AV e mecanismos de persistência adicionais, é vendida por $350.
Este baixo preço, combinado com o rápido ciclo de desenvolvimento, torna o BunnyLoader uma escolha lucrativa para cibercriminosos em busca de ofertas antecipadas em projetos de malware emergentes antes que eles ganhem proeminência e aumentem suas taxas.
O relatório da Zscaler fornece detalhes técnicos que podem ajudar a detectar o malware antes que ele estabeleça persistência, bem como indicadores de comprometimento que podem prevenir uma infecção.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...