Ένα ολοκαίνουργιο
κακόβουλο λογισμικό
ως υπηρεσία (
MaaS
), ικανό για ένα ευρύ φάσμα κακόβουλων ενεργειών, προσφέρεται στον σκοτεινό ιστό, ανακάλυψαν ερευνητές.
Εμπειρογνώμονες κυβερνοασφάλειας από το Zscaler ThreatLabz παρατήρησαν ένα MaaS που ονομάζεται BunnyLoader να προσφέρεται στο διαδίκτυο για 250 $ (διάρκεια άδεια χρήσης).
Μετά από περαιτέρω ανάλυση, οι ερευνητές ανακάλυψαν όλα τα πράγματα που μπορεί να κάνει το BunnyLoader – από την ανάπτυξη κακόβουλου λογισμικού στο δεύτερο στάδιο έως την κλοπή κωδικών πρόσβασης που είναι αποθηκευμένοι σε προγράμματα περιήγησης έως την απόκτηση πληροφοριών συστήματος.
Επιπλέον
, το BunnyLoader μπορεί να εκτελεί απομακρυσμένες εντολές στο μολυσμένο τελικό σημείο, να καταγράφει πληκτρολογήσεις μέσω ενός ενσωματωμένου keylogger και να παρακολουθεί το πρόχειρο για πορτοφόλια κρυπτονομισμάτων.
Χαρακτηριστικά πάνελ C2
Εάν ένα θύμα αποφασίσει να στείλει μια πληρωμή σε κρυπτονομίσματα από τη μια διεύθυνση στην άλλη, συνήθως αντιγράφει και επικολλά τη διεύθυνση του παραλήπτη στην
εφαρμογή
, κυρίως επειδή οι διευθύνσεις πορτοφολιού είναι μια μεγάλη σειρά από τυχαία γράμματα και αριθμούς. Όταν το κακόβουλο λογισμικό παρακολουθεί το πρόχειρο, μπορεί να ανιχνεύσει πότε το θύμα αντιγράφει μια διεύθυνση πορτοφολιού και μπορεί να αντικαταστήσει τα περιεχόμενα στο πρόχειρο με μια διεύθυνση που ανήκει στον εισβολέα. Έτσι, όταν ξεκινά μια πληρωμή, τα χρήματα πηγαίνουν στον λογαριασμό του εισβολέα.
Το BunnyLoader γράφτηκε σε C/C++ από έναν ηθοποιό απειλών που ονομάζεται PLAYER_BUNNY (γνωστός και ως PLAYER_BL). Είναι υπό ενεργό ανάπτυξη από τις αρχές Σεπτεμβρίου του τρέχοντος έτους, φέρεται να λαμβάνει νέες δυνατότητες και βελτιώσεις κάθε μέρα. Μερικά από τα νεότερα μη διαβαθμισμένα περιλαμβάνουν τεχνικές αποφυγής κατά του sandbox και προστασίας από ιούς, που γίνονται δυνατές μέσω μιας λειτουργίας φόρτωσης χωρίς αρχεία.
Οι χάκερ που αγοράζουν μια άδεια μπορούν επίσης να περιμένουν από έναν πίνακα C2 να παρακολουθεί όλες τις ενεργές εργασίες, να παρακολουθεί στατιστικά στοιχεία μόλυνσης, να παρακολουθεί συνδεδεμένους και ανενεργούς κεντρικούς
υπολογιστές
και πολλά άλλα.
Το μόνο πράγμα που παραμένει μυστήριο με το BunnyLoader είναι το πώς φτάνει στα τελικά σημεία του θύματος, καθώς οι ερευνητές δεν μπόρεσαν να ανακαλύψουν κανέναν αρχικό μηχανισμό πρόσβασης.
«Το BunnyLoader είναι μια νέα απειλή MaaS που εξελίσσει συνεχώς τις τακτικές τους και προσθέτει νέα χαρακτηριστικά για να πραγματοποιήσει επιτυχημένες εκστρατείες εναντίον των στόχων τους», κατέληξαν οι ερευνητές.
Μέσω
TheHackerNews