Ключевые возможности нового вредоносного ПО, которое уже продается в даркнете.
Исследователи кибербезопасности из Zscaler ThreatLabz обнаружили новое вредоносное ПО BunnyLoader, которое распространяется по модели Malware-as-a-Service (MaaS) и продаётся на подпольных киберпреступных форумах.
Исследователи отметили, что BunnyLoader обладает различными функциями:<ul><li>Загрузка и выполнение вредоносного кода второго этапа.</li>
</ul><ul><li>Кража учетных данных браузера и системной информации.</li>
</ul><ul><li>Выполнение удаленных команд на зараженной машине.</li>
</ul><ul><li>Регистрация нажатий клавиш (кейлоггинг).</li>
</ul><ul><li>Функция клипера для отслеживания буфера обмена жертвы и замены содержимого, соответствующего адресам кошельков криптовалют, на адреса кошельков злоумышленников.</li>
</ul><ul><li>Бесфайловая загрузка для затруднения удаления вредоносного ПО антивирусами ( Бесфайловое вредоносное ПО ).</li>
</ul><ul><li>Настройка постоянного присутствия через изменение реестра Windows.</li>
</ul>BunnyLoader, написанный на C/C++, предлагается за $250 за пожизненную лицензию. С момента его дебюта 4 сентября 2023 года, вредоносное ПО постоянно развивается, включая новые функции и улучшения, которые обеспечивают уклонение от антивирусов и песочниц.
Панель управления C2-сервера (Command and Control Server) предлагает покупателям возможность мониторинга активных задач, статистики заражения, общего числа подключенных и неактивных хостов, а также журналов утилиты для кражи данных. Также предусмотрена возможность удаленного контроля скомпрометированными машинами.
https://www.securitylab.ru/upload/me...whrs3r5lh3.png
Скриншот панели управления BunnyLoader
Точный механизм первоначального доступа, используемый для распространения BunnyLoader, на данный момент неясен. После установки вредоносное ПО настраивает постоянное присутствие через изменение реестра Windows и проводит ряд проверок на наличие песочниц и виртуальных машин, прежде чем активировать свои вредоносные действия, отправляя запросы задач на удаленный сервер и получая желаемые ответы.
https://www.securitylab.ru/upload/me...rx92omsn0f.png
Панель управления отображает список заражённых компьютеров
Отправляемые задачи включают загрузку и выполнение вредоносного ПО следующего этапа, запуск кейлоггера и утилиты для кражи данных из мессенджеров, VPN-клиентов и веб-браузеров, а также перенаправление платежей в криптовалютах и получение прибыли от незаконных транзакций. Последний этап включает в себя инкапсуляцию всех собранных данных в архив ZIP и передачу его на сервер.
Исследователи подчеркивают, что BunnyLoader – это новая MaaS-сервис, который постоянно развивает свои тактики и добавляет новые функции для успешного проведения кампаний против своих целей.