Alcuni ricercatori di sicurezza hanno scoperto un nuovo malware-as-a-service (MaaS) chiamato BunnyLoader che viene pubblicizzato su più forum di hacker.
A quanto pare, si tratta di un loader in grado di intervenire sui sistemi della vittima, portando al furto o alla cancellazione dei dati presenti in locale (e non solo). Una caratteristica temibile di questo malware è il suo sviluppo rapido. Questo, infatti, è seguito in maniera quasi maniacale dai suoi creatori, che ne migliorano le funzionalità e ne correggono i bug con una puntualità disarmante.
Già dal momento della prima apparizione del MaaS sui forum del Dark Web, avvenuta il 4 settembre, questo si è evoluto, diventando ormai un agente malevolo molto diverso rispetto alla sua prima versione.
Le capacità attuali di BunnyLoader consentono agli affiliati, oltre al già citato furto di dati, di eseguire comandi remoti e di sottrarre criptovaluta alle vittime. Secondo gli esperti di Zscaler, a causa delle già citate caratteristiche e del prezzo relativamente basso a cui viene venduto, questo malware gode di una grande popolarità nel contesto del cybercrimine.
Il malware BunnyLoader è in continua evoluzione
Il malware esegue diversi controlli per determinare se è in esecuzione in modalità sandbox o in un ambiente simulato e genera un falso errore di incompatibilità dell’architettura se il risultato è positivo.
Oltre alle funzioni menzionate, il malware presenta anche moduli per rubare dati archiviati su browser Web, incluse informazioni come:
- password
- carte di credito
- cronologia di navigazione
- portafogli di criptovaluta
- VPN
- app di messaggistica
agendo essenzialmente come un classico infostealer.
Tutti i dati rubati vengono compressi in un archivio ZIP prima di essere inviati al server di comando e controllo (C2) dell’attore della minaccia.
Come già affermato BunnyLoader è in continua evoluzione e risulta dunque difficile da inquadrare chiaramente.
Dal momento del suo rilascio, questo ha già ottenuto una decina di aggiornamenti. L’ultima registrata, datata 27 settembre, include l’aggiornamento di vulnerabilità critiche che riguardano SQL injection e XSS, il miglioramento delle funzionalità di furto dei dati e un loader fileless ottimizzato.