Los expertos en ciberseguridad han descubierto otra amenaza de Malware como Servicio (MaaS) llamada BunnyLoader que se está anunciando a la venta en el mundo subterráneo del cibercrimen.
"BunnyLoader proporciona diversas funcionalidades como descargar y ejecutar una carga útil de segundo nivel, robar credenciales de navegadores e información del sistema, y mucho más", dijeron los investigadores de Zscaler ThreatLabz, Niraj Shivtarkar y Satyam Singh, en un análisis publicado la semana pasada.
Entre sus otras capacidades se incluye la ejecución de comandos remotos en la máquina infectada, un registrador de pulsaciones para capturar las pulsaciones del teclado y una función de clipper para supervisar el portapapeles de la vÃctima y reemplazar el contenido que coincida con direcciones de billeteras de criptomonedas con direcciones controladas por actores maliciosos.
Un cargador basado en C/C++ se ofrece por $250 para una licencia de por vida, y se dice que el malware ha estado en desarrollo continuo desde su debut el 4 de septiembre de 2023, con nuevas caracterÃsticas y mejoras que incorporan técnicas de evasión de entornos de prueba y antivirus.
También se solucionaron problemas en las actualizaciones lanzadas el 15 y 27 de septiembre de 2023, relacionados con el control de comandos y "fallos crÃticos" de inyección SQL en el panel de control de comandos y control (C2) que habrÃan concedido acceso a la base de datos.
Un punto de venta clave de BunnyLoader, según el autor PLAYER_BUNNY (también conocido como PLAYER_BL), es su función de carga sin archivos que "dificulta que los antivirus eliminen el malware del atacante".
El panel C2 proporciona opciones para que los compradores supervisen tareas activas, estadÃsticas de infección, el número total de hosts conectados e inactivos, y registros de robo. También permite purgar información y controlar de forma remota las máquinas comprometidas.
El mecanismo exacto de acceso inicial utilizado para distribuir BunnyLoader aún no está claro. Una vez instalado, el malware establece la persistencia mediante un cambio en el Registro de Windows y realiza una serie de comprobaciones en entornos de prueba y máquinas virtuales antes de activar su comportamiento malicioso al enviar solicitudes de tareas al servidor remoto y obtener las respuestas deseadas.
Esto incluye tareas de descarga de troyanos para descargar y ejecutar malware de segundo nivel, Intruder para ejecutar un registrador de pulsaciones y un ladrón de datos para recopilar información de aplicaciones de mensajerÃa, clientes de VPN y navegadores web, y Clipper para redirigir pagos de criptomonedas y obtener ganancias de transacciones ilÃcitas.
El último paso implica encapsular todos los datos recopilados en un archivo ZIP y transmitirlo al servidor.
"BunnyLoader es una nueva amenaza MaaS que continúa evolucionando sus tácticas y agregando nuevas caracterÃsticas para llevar a cabo campañas exitosas contra sus objetivos", dijeron los investigadores.
Estos hallazgos siguen al descubrimiento de otro cargador basado en Windows llamado MidgeDropper que probablemente se distribuye a través de correos electrónicos de phishing para entregar una carga útil de segundo nivel no especificada desde un servidor remoto.
Este desarrollo también coincide con el debut de dos nuevas cepas de malware roba-información llamadas Agniane Stealer y The-Murk-Stealer que admiten el robo de una amplia gama de información de dispositivos comprometidos.
Mientras que Agniane Stealer está disponible como una suscripción mensual por $50, la segunda está disponible en GitHub supuestamente con fines educativos, lo que la hace susceptible de ser utilizada por otros actores de amenazas. Algunos de los otros ladrones alojados en GitHub incluyen Stealerium, Impost3r, Blank-Grabber, Nivistealer, Creal-stealer y cstealer.
"Aunque se afirma que la herramienta es para fines educativos, surge una contradicción por parte del autor al instar a no cargar el binario final en plataformas como VirusTotal (VT), donde las soluciones antivirus pueden detectar su firma", dijo Cyfirma.
No solo se están desarrollando nuevos servicios de malware, sino que los ciberdelincuentes también están mejorando las caracterÃsticas de las plataformas MaaS existentes con cadenas de ataque actualizadas para evadir la detección por parte de las herramientas de seguridad. Esto incluye una variante del RedLine Stealer que emplea un script de lote de Windows para lanzar el malware.
"[RedLine Stealer] se está distribuyendo de varias maneras y los actores de amenazas continúan haciendo cambios en las técnicas para que no sea detectable durante un perÃodo prolongado de tiempo", dijo la empresa de ciberseguridad. "También se está vendiendo en los foros clandestinos y animando a los ciberdelincuentes a llevar a cabo sus malas intenciones".
¿Quieres saber más?