Amsterdam, 3 november 2023 - Zscaler ThreatLabz heeft een nieuwe Malware-as-a-Service (MaaS)-dreiging ontdekt, genaamd ‘BunnyLoader’. BunnyLoader biedt verschillende functionaliteiten, zoals het downloaden en uitvoeren van een second-stage payload, het stelen van browsergegevens en systeeminformatie. Daarnaast maakt het gebruik van een keylogger om toetsaanslagen te registreren en een clipper om het klembord van een slachtoffer te monitoren en cryptocurrency wallet-adressen te vervangen door door cybercriminelen beheerde wallets. Zodra de informatie is verkregen, zet BunnyLoader de gegevens in een ZIP-archief dat wordt verstuurd naar een command-and-control (C2)-server.
Belangrijkste takeaways:
- ThreatLabz heeft een nieuwe malware loader geïdentificeerd, geschreven in C/C++, genaamd BunnyLoader, die op verschillende forums wordt verkocht voor $250.
- BunnyLoader ontwikkelt zich snel met meerdere updates en bugfixes.
- BunnyLoader maakt tijdens zijn aanvalsreeks gebruik van verschillende anti-sandbox-technieken.
- BunnyLoader downloadt en voert een second-stage payload uit, registreert sleutels, steelt gevoelige informatie en cryptocurrency en voert opdrachten op afstand uit.
BunnyLoader wordt op verschillende forums verkocht door een gebruiker genaamd “PLAYER_BUNNY”/”PLAYER_BL”, die één van de ontwikkelaars van de loader lijkt te zijn, zoals weergegeven in de onderstaande afbeelding.
Figuur 1: BunnyLoader advertentie op crimineel forum
Deze malware loader steelt het volgende uit webbrowsers: autofill-gegevens, creditcardgegevens, downloads, geschiedenis en wachtwoorden. Daarnaast steelt het credentials uit ProtonVPN en OpenVPN en de volgende messaging applicaties: Skype, Tox, Signal, Element en ICQ. Ook cryptocurrency wallets blijven niet buiten schot. BunnyLoader richt zijn pijlen op alle grote crypto’s, waaronder Bitcoin, Monero, Ethereum, Litecoin, Dogecoin, ZCash en Tether.
Conclusie
Sinds de eerste release van BunnyLoader v1.0 heeft de malware een snelle ontwikkeling doorgemaakt, waarbij veel updates en bugfixes zijn uitgebracht. Het is een nieuwe MaaS-dreiging die zich voortdurend ontwikkelt en nieuwe functies toevoegt om geslaagde campagnes tegen doelwitten uit te voeren. Het Zscaler ThreatLabz-team zal deze aanvallen blijven monitoren.
Lees hier een volledige technische analyse van hoe BunnyLoader te werk gaat.