Gli esperti di cybersecurity hanno scoperto un nuovo malware-as-a-service chiamato BunnyLoader, in vendita nel sottobosco del cybercrime. BunnyLoader offre diverse funzionalità, come il download e l’esecuzione di un payload di seconda fase, il furto di credenziali del browser e informazioni di sistema, e molto altro. Tra le altre capacità include l’esecuzione di comandi remoti sulla macchina infetta, un keylogger per catturare i tasti premuti, e una funzionalità di clipper per monitorare gli appunti della vittima e sostituire il contenuto corrispondente agli indirizzi del portafoglio di criptovalute con indirizzi controllati dall’attore.
Offerto per $250 per una licenza a vita, il malware è in continuo sviluppo dal suo debutto il 4 settembre 2023, con nuove funzionalità e miglioramenti che incorporano tecniche anti-sandbox e di evasione antivirus. Un punto di vendita chiave di BunnyLoader, secondo l’autore PLAYER_BUNNY (aka PLAYER_BL), è la sua funzionalità di caricamento senza file che “rende difficile per gli antivirus rimuovere il malware degli aggressori”.
Il meccanismo di accesso iniziale utilizzato per distribuire BunnyLoader è attualmente poco chiaro. Una volta installato, il malware imposta la persistenza tramite una modifica del Registro di Windows e esegue una serie di controlli sandbox e macchina virtuale prima di attivare il suo comportamento malevolo inviando richieste di attività al server remoto e recuperando le risposte desiderate. Questo include compiti di Trojan Downloader per scaricare ed eseguire malware di prossima fase, Intruder per eseguire keylogger e stealer per raccogliere dati da app di messaggistica, client VPN e browser web, e Clipper per reindirizzare i pagamenti in criptovaluta e trarre profitto dalle transazioni illecite.