Cybersecurity-onderzoekers hebben een bijgewerkte variant van een stealer en malware-lader ontdekt, genaamd BunnyLoader dat de verschillende functies modulair maakt en detectie kan omzeilen.
“BunnyLoader ontwikkelt op dynamische wijze malware met de mogelijkheid om informatie, inloggegevens en cryptocurrency te stelen, en om extra malware aan zijn slachtoffers te leveren”, zei Palo Alto Networks Unit 42 in een rapport dat vorige week werd gepubliceerd.
De nieuwe versie, genaamd BunnyLoader 3.0, werd op 11 februari 2024 aangekondigd door de ontwikkelaar genaamd Player (of Player_Bunny), met herschreven modules voor gegevensdiefstal, een kleinere payload en verbeterde keylogging-mogelijkheden.
BunnyLoader werd voor het eerst gedocumenteerd door Zscaler ThreatLabz in september 2023 en beschreef het als malware-as-a-service (MaaS), ontworpen om inloggegevens te verzamelen en diefstal van cryptocurrency te vergemakkelijken. Het werd aanvankelijk aangeboden op abonnementsbasis voor $ 250 per maand.
De malware heeft sindsdien regelmatig updates ondergaan die erop gericht zijn antivirusbescherming te omzeilen en de functies voor het verzamelen van gegevens uit te breiden, waarbij BunnyLoader 2.0 tegen het einde van dezelfde maand werd uitgebracht.
De derde generatie BunnyLoader gaat nog een stap verder door niet alleen nieuwe Denial-of-Service (DoS)-functies te integreren om HTTP-flood-aanvallen op een doel-URL uit te voeren, maar ook door de stealer-, clipper-, keylogger- en DoS-modules op te splitsen in afzonderlijke binaire bestanden.
“Exploitanten van BunnyLoader kunnen ervoor kiezen om deze modules in te zetten of de ingebouwde commando’s van BunnyLoader te gebruiken om de malware van hun keuze te laden”, legt Unit 42 uit.
Infectieketens die BunnyLoader leveren, zijn ook steeds geavanceerder geworden, waarbij gebruik wordt gemaakt van een voorheen ongedocumenteerde druppelaar om PureCrypter te laden, die zich vervolgens in twee afzonderlijke takken splitst.
Terwijl één vestiging de PureLogs-lader lanceert om uiteindelijk de PureLogs-stealer af te leveren, laat de tweede aanvalsreeks BunnyLoader vallen om een andere stealer-malware genaamd Meduza te verspreiden.
“In het steeds veranderende landschap van MaaS blijft BunnyLoader evolueren, wat de noodzaak aantoont dat bedreigingsactoren zich regelmatig moeten aanpassen om detectie te omzeilen”, aldus onderzoekers van Unit 42.
De ontwikkeling komt te midden van het voortdurende gebruik van SmokeLoader-malware (ook bekend als Dofoil of Sharik) door een vermoedelijke Russische cybercriminaliteitsploeg genaamd UAC-006 om de Oekraïense overheid en financiële entiteiten aan te vallen. Het is bekend dat het actief is sinds 2011.
Volgens een uitgebreid rapport gepubliceerd door het Oekraïense State Cyber Protection Center (SCPC) zijn er tussen mei en november 2023 maar liefst 23 phishing-aanvalsgolven geregistreerd waarbij SmokeLoader werd geleverd.
“In de eerste plaats een lader met extra mogelijkheden voor het stelen van informatie, is SmokeLoader gekoppeld aan Russische cybercriminaliteitsoperaties en is direct beschikbaar op Russische cybercriminaliteitsforums”, aldus Unit 42.
Aan BunnyLoader en SmokeLoader worden twee nieuwe informatiestelende malware toegevoegd met de codenaam Nikki Stealer en GlorySprout, waarvan de laatste is ontwikkeld in C++ en wordt aangeboden voor $ 300 voor levenslange toegang. Volgens RussianPanda is de dief een kloon van Taurus Stealer.
“Een opmerkelijk verschil is dat GlorySprout, in tegenstelling tot Taurus Stealer, geen extra DLL-afhankelijkheden downloadt van C2-servers”, aldus de onderzoeker. “Bovendien mist GlorySprout de Anti-VM-functie die wel aanwezig is in Taurus Stealer.”
De bevindingen volgen ook op de ontdekking van een nieuwe variant van WhiteSnake Stealer die de diefstal van kritieke gevoelige gegevens van gecompromitteerde systemen mogelijk maakt. “Deze nieuwe versie heeft de string-decoderingscode verwijderd en de code gemakkelijk te begrijpen gemaakt”, aldus SonicWall.
