Pesquisadores de cibersegurança descobriram uma variante atualizada de um stealer e carregador de malware chamado BunnyLoader que modulariza suas várias funções, bem como permite que ele evite a detecção.
"BunnyLoader é um malware em desenvolvimento dinâmico com a capacidade de roubar informações, credenciais e criptomoedas, além de entregar malware adicional às suas vítimas", disse a Unit 42 da Palo Alto Networks em um relatório publicado na semana passada.
A nova versão, apelidada de BunnyLoader 3.0, foi anunciada por seu desenvolvedor chamado Player (ou Player_Bunny) em 11 de fevereiro de 2024, com módulos reescritos para roubo de dados, tamanho de payload reduzido e capacidades aprimoradas de keylogging.
BunnyLoader foi primeiro documentado por Zscaler ThreatLabz em setembro de 2023, descrevendo-o como um malware-as-a-service (MaaS) destinado a colher credenciais e facilitar o roubo de criptomoedas.
Inicialmente era oferecido por assinatura por US $ 250 por mês.
O malware desde então passou por atualizações frequentes que visam evitar as defesas antivírus, bem como expandir suas funções de coleta de dados, com o BunnyLoader 2.0 sendo lançado até o final do mesmo mês.
A terceira geração do BunnyLoader dá um passo adiante, não apenas incorporando novos recursos de negação de serviço (DoS) para montar ataques de inundação HTTP contra uma URL alvo, mas também dividindo seu stealer, clipper, keylogger e módulos DoS em binários distintos.
"Os operadores do BunnyLoader podem escolher implantar esses módulos ou usar os comandos integrados do BunnyLoader para carregar o malware de sua escolha", explicou a Unit 42.
As cadeias de infecção que entregam o BunnyLoader também se tornaram progressivamente mais sofisticadas, utilizando um dropper anteriormente não documentado para carregar o PureCrypter, que então se divide em dois ramos separados.
Enquanto um ramo lança o carregador PureLogs para finalmente entregar o stealer PureLogs, a segunda sequência de ataque solta o BunnyLoader para distribuir outro malware stealer chamado Meduza.
"No cenário sempre mutável do MaaS, o BunnyLoader continua a evoluir, demonstrando a necessidade dos atores de ameaças de reequipar frequentemente para evitar a detecção", disseram os pesquisadores da Unit 42.
Esta evolução ocorre em meio ao uso contínuo do malware SmokeLoader (também conhecido como Dofoil ou Sharik) por um suposto grupo de cibercriminosos russos chamado UAC-006 para atingir o governo ucraniano e as entidades financeiras.
Ele tem atividade conhecida desde 2011.
Até 23 ondas de ataques de phishing entregando o SmokeLoader foram registradas entre maio e novembro de 2023, de acordo com um relatório exaustivo publicado pelo Centro de Proteção Cibernética do Estado da Ucrânia (SCPC).
"Primariamente um carregador com capacidades adicionais de roubo de informações, o SmokeLoader tem sido ligado a operações de cibercrime russas e é facilmente disponível em fóruns de cibercrime russos", disse a Unit 42.
Somando-se ao BunnyLoader e ao SmokeLoader estão dois novos malwares de roubo de informações codinome Nikki Stealer e GlorySprout, este último desenvolvido em C++ e oferecido por $300 por acesso vitalício.
De acordo com o RussianPanda, o stealer é um clone do Taurus Stealer.
"Uma diferença notável é que o GlorySprout, ao contrário do Taurus Stealer, não baixa dependências DLL adicionais dos servidores C2", disse o pesquisador.
"Além disso, GlorySprout não possui o recurso Anti-VM que está presente no Taurus Stealer."
As descobertas também seguem a descoberta de uma nova variante do WhiteSnake Stealer que permite o roubo de dados sensíveis críticos de sistemas comprometidos.
"Esta nova versão removeu o código de descriptografia de string e facilitou o entendimento do código", disse a SonicWall.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...