Especialistas em cibersegurança descobriram mais uma ameaça de malware como serviço (MaaS) chamada BunnyLoader que está sendo anunciada para venda na dark web do cibercrime.
"BunnyLoader oferece diversas funcionalidades como baixar e executar um payload de segunda fase, roubar credenciais do navegador e informações do sistema e muito mais", disseram os pesquisadores da Zscaler ThreatLabz, Niraj Shivtarkar e Satyam Singh, em uma análise publicada na última semana.
Entre suas outras capacidades estão a execução de comandos remotos na máquina infectada, um keylogger para capturar pressionamentos de tecla e uma funcionalidade de clipper para monitorar a área de transferência da vítima e substituir o conteúdo que corresponde aos endereços da carteira de criptomoedas por endereços controlados pelo ator.
Um carregador baseado em C/C++ oferecido por $250 para uma licença vitalícia, o malware foi dito estar em desenvolvimento contínuo desde sua estreia em 4 de setembro de 2023, com novos recursos e aprimoramentos que incorporam técnicas de evasão de anti-sandbox e antivírus.
Também foram corrigidas como parte das atualizações lançadas em 15 e 27 de setembro de 2023, questões com comando e controle (C2), bem como falhas de injeção SQL "críticas" no painel C2 que teriam concedido acesso ao banco de dados.
Um grande ponto de venda do BunnyLoader, segundo o autor chamado PLAYER_BUNNY (também conhecido como PLAYER_BL), é o recurso de carregamento sem arquivo que "dificulta a remoção do malware dos atacantes pelos antivírus."
O painel C2 oferece opções para que os compradores monitorem tarefas ativas, estatísticas de infecção, o número total de hosts conectados e inativos e logs de roubo.
Também oferece a capacidade de purgar informações e controlar remotamente as máquinas comprometidas.
O exato mecanismo de acesso inicial usado para distribuir o BunnyLoader ainda não está claro. Uma vez instalado, o malware configura a persistência por meio de uma mudança no Registro do Windows e realiza uma série de verificações de sandbox e máquina virtual antes de ativar seu comportamento malicioso, enviando solicitações de tarefas para o servidor remoto e buscando as respostas desejadas.
Isso inclui tarefas de Trojan Downloader para baixar e executar o malware de próxima fase, Intruder para executar keylogger e coletar dados de aplicativos de mensagens, clientes VPN e navegadores da web, e Clipper para redirecionar pagamentos de criptomoedas e lucrar com transações ilícitas.
O passo final envolve encapsular todos os dados coletados em um arquivo ZIP e transmiti-lo para o servidor.
"BunnyLoader é uma nova ameaça MaaS que está constantemente evoluindo suas táticas e adicionando novos recursos para realizar campanhas bem-sucedidas contra seus alvos", disseram os pesquisadores.
Os achados seguem a descoberta de outro carregador baseado em Windows chamado MidgeDropper que provavelmente é distribuído por e-mails de phishing para fornecer um payload de segunda fase sem nome a partir de um servidor remoto.
O desenvolvimento também acontece em meio à estreia de duas novas cepas de malware de roubo de informações nomeadas Agniane Stealer e The-Murk-Stealer que apoiam o roubo de uma ampla gama de informações de terminais violados.
Enquanto Agniane Stealer está disponível como assinatura mensal por $50, o último está disponível no GitHub supostamente para fins educacionais, o que o torna propenso a abusos por outros atores de ameaças.
Alguns dos outros stealers hospedados no GitHub incluem Stealerium, Impost3r, Blank-Grabber, Nivistealer, Creal-stealer e cstealer.
"Ao reivindicar que a ferramenta é para fins educacionais, a contradição do autor surge ao instar para não carregar o binário final em plataformas como o VirusTotal (VT), onde as soluções antivírus podem detectar sua assinatura", disse a Cyfirma.
Não são apenas novos serviços de malware, como os cibercriminosos também estão aumentando os recursos das plataformas MaaS existentes com cadeias de ataque atualizadas para evitar a detecção pelas ferramentas de segurança.
Isso engloba uma variante do RedLine Stealer que emprega um script Windows Batch para lançar o malware.
"[RedLine Stealer] está sendo distribuído por vários meios e os atores das ameaças estão constantemente fazendo mudanças nas técnicas para torná-lo indetectável por um longo período de tempo", disse a firma de cibersegurança.
"Ele também está sendo vendido nos fóruns clandestinos e incentivando os cibercriminosos a realizarem suas intenções maléficas."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...