Pesquisadores de segurança descobriram um novo malware-as-a-service (MaaS) chamado 'BunnyLoader', anunciado em vários fóruns de hackers como um carregador sem arquivo que pode roubar e substituir o conteúdo da área de transferência do sistema.
O malware está em rápido desenvolvimento, com atualizações adicionando novos recursos e correções de bugs.
Atualmente, ele pode baixar e executar payloads, registrar teclas, roubar dados sensíveis e criptomoedas e executar comandos remotos.
A primeira versão do BunnyLoader surgiu em 4 de setembro.
Desde então, seus desenvolvedores adicionaram mais funções, como múltiplos mecanismos anti-detecção e capacidades extras de roubo de informações, lançando uma segunda versão principal no final do mês.
Pesquisadores da empresa de segurança em nuvem Zscaler observam que o BunnyLoader está se tornando rapidamente popular entre os cibercriminosos como um malware rico em recursos disponível por um preço baixo.
O painel de comando e controle do BunnyLoader permite que até mesmo cibercriminosos com baixa qualificação definam uma segunda fase de payload, habilitem o registro de teclas, o roubo de credenciais, a manipulação da área de transferência (para o roubo de criptomoedas) e a execução de comandos remotos em dispositivos infectados.
Em um relatório recente, pesquisadores dizem que, após ser executado em um dispositivo comprometido, o BunnyLoader cria um novo valor no Registro do Windows para persistência, esconde sua janela, define um mutex para evitar múltiplas instâncias de si mesmo e registra a vítima no painel de controle.
O malware realiza várias verificações para determinar se está sendo executado em uma sandbox ou em um ambiente simulado e lança um erro de incompatibilidade de arquitetura falso se o resultado for positivo.
Além das funções mencionadas, o malware também apresenta módulos para roubar dados armazenados em navegadores da web (senhas, cartões de crédito, histórico de navegação), carteiras de criptomoedas, VPNs, aplicativos de mensagens e mais, atuando essencialmente como um ladrão de informações padrão.
Todos os dados roubados são comprimidos em um arquivo ZIP antes de serem exfiltrados para o servidor de comando e controle (C2) do ator da ameaça.
Segundo os pesquisadores, o BunnyLoader suporta a escrita de payload no disco antes de executá-las, e também pode executá-las a partir da memória do sistema (sem arquivo) usando a técnica de desbaste de processos.
A Zscaler monitorou o desenvolvimento do malware e os anúncios em múltiplos fóruns de hacking e percebeu que ele passou por inúmeras atualizações desde seu lançamento inicial.
Aqui está um resumo da linha do tempo do desenvolvimento do BunnyLoader:
v1.0 (4 de setembro): Lançamento inicial.
v1.1 (5 de setembro): Correção de bug do cliente, introdução da compressão de log antes do upload e adicionado o comando 'pwd' para shell reverso.
v1.2 (6 de setembro): Aperfeiçoou o stealer com recuperação do histórico do navegador, recuperação do token de autenticação do NGRok e suporte a caminhos adicionais do navegador Chromium.
v1.3 (9 de setembro): Adicionou recuperação de cartão de crédito para 16 tipos de cartões e corrigiu bugs do C2.
v1.4 (10 de setembro): Implementou evasão AV.
v1.5 (11 de setembro): Introduziu recuperação de VPN para o stealer, correções de bugs do carregador sem arquivo e otimizações de carregamento de log.
v1.6 (12 de setembro): Adicionou visualizador de histórico de downloads e técnicas anti-sandbox.
v1.7 (15 de setembro): Aprimorou a evasão AV.
v1.8 (15 de setembro): Implementou a funcionalidade do keylogger e resolveu vários bugs.
v1.9 (17 de setembro): Melhorou o stealer com recuperação de jogos, mais caminhos do navegador Chromium e adicionou uma recuperação de carteira de desktop.
v2.0 (27 de setembro): Atualizou a GUI do C2, corrigiu vulnerabilidades críticas, incluindo injeção SQL e XSS, introduziu detecção de tentativa de exploração e otimizou ainda mais as funcionalidades do stealer e do carregador sem arquivo.
Em seu estado atual, o BunnyLoader é vendido por $250, enquanto a versão "private stub", que possui uma anti-análise mais forte, injeção em memória, evasão AV e mecanismos de persistência adicionais, é vendida por $350.
Este baixo preço, combinado com o rápido ciclo de desenvolvimento, torna o BunnyLoader uma escolha lucrativa para cibercriminosos em busca de ofertas antecipadas em projetos de malware emergentes antes que eles ganhem proeminência e aumentem suas taxas.
O relatório da Zscaler fornece detalhes técnicos que podem ajudar a detectar o malware antes que ele estabeleça persistência, bem como indicadores de comprometimento que podem prevenir uma infecção.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...