Les experts en cybersécurité ont découvert une autre menace de malware en tant que service (MaaS) appelée Chargeur de lapin qui est mis en vente dans la clandestinité de la cybercriminalité.
« BunnyLoader fournit diverses fonctionnalités telles que le téléchargement et l’exécution d’une charge utile de deuxième étape, le vol des informations d’identification du navigateur et des informations système, et bien plus encore », Niraj Shivtarkar et Satyam Singh, chercheurs de Zscaler ThreatLabz. dit dans une analyse publiée la semaine dernière.
Parmi ses autres fonctionnalités figurent l’exécution de commandes à distance sur la machine infectée, un enregistreur de frappe pour capturer les frappes au clavier et une fonctionnalité de clipper pour surveiller le presse-papiers de la victime et remplacer le contenu correspondant aux adresses de portefeuille de crypto-monnaie par des adresses contrôlées par l’acteur.
Chargeur basé sur AC/C++ proposé pour 250 $ pour une licence à vie, le malware serait en développement continu depuis ses débuts le 4 septembre 2023, avec de nouvelles fonctionnalités et améliorations intégrant des techniques anti-sandbox et d’évasion antivirus.
Sont également corrigés dans le cadre des mises à jour publiées les 15 et 27 septembre 2023 des problèmes de commande et de contrôle (C2) ainsi que des failles d’injection SQL « critiques » dans le panneau C2 qui auraient accordé l’accès à la base de données.
Selon l’auteur PLAYER_BUNNY (alias PLAYER_BL), l’un des principaux arguments de vente de BunnyLoader est sa fonctionnalité de chargement sans fichier qui « rend difficile pour les antivirus la suppression des logiciels malveillants des attaquants ».
Le panneau C2 offre aux acheteurs des options pour surveiller les tâches actives, les statistiques d’infection, le nombre total d’hôtes connectés et inactifs et les journaux des voleurs. Il offre également la possibilité de purger les informations et de contrôler à distance les machines compromises.
Le mécanisme d’accès initial exact utilisé pour distribuer BunnyLoader n’est actuellement pas clair. Une fois installé, le malware configure la persistance via une modification du registre Windows et effectue une série de vérifications du bac à sable et de la machine virtuelle avant d’activer son comportement malveillant en envoyant des requêtes de tâches au serveur distant et en récupérant les réponses souhaitées.
Cela inclut les tâches Trojan Downloader pour télécharger et exécuter des logiciels malveillants de niveau supérieur, Intruder pour exécuter un enregistreur de frappe et un voleur pour collecter des données à partir d’applications de messagerie, de clients VPN et de navigateurs Web, et Clipper pour rediriger les paiements en crypto-monnaie et profiter des transactions illicites.
La dernière étape consiste à encapsuler toutes les données collectées dans une archive ZIP et à les transmettre au serveur.
« BunnyLoader est une nouvelle menace MaaS qui fait évoluer continuellement ses tactiques et ajoute de nouvelles fonctionnalités pour mener des campagnes réussies contre ses cibles », ont déclaré les chercheurs.
Les résultats font suite à la découverte de un autre chargeur basé sur Windows appelé MidgeDropper qui est probablement distribué via des e-mails de phishing pour fournir une charge utile de deuxième étape sans nom à partir d’un serveur distant.
Ce développement intervient également au milieu du lancement de deux nouvelles souches de logiciels malveillants voleurs d’informations nommées Agniane Voleuse et Le-Voleur-de-Murk qui prend en charge le vol d’un large éventail d’informations à partir de points finaux violés.
Alors qu’Agniane Stealer est disponible sous forme d’abonnement mensuel pour 50 $, ce dernier est disponible sur GitHub à des fins prétendument éducatives, ce qui le rend propice aux abus de la part d’autres acteurs menaçants. Certains des autres voleurs hébergés sur GitHub incluent Stealerium, Impost3r, Blank-Grabber, Nivistealer, Creal-stealer et cstealer.
« Tout en affirmant que l’outil est destiné à des fins éducatives, l’auteur se contredit lorsqu’il recommande de ne pas télécharger le binaire final sur des plateformes comme VirusTotal (VT), où les solutions antivirus peuvent détecter sa signature », a déclaré Cyfirma.
Il ne s’agit pas seulement de nouveaux services de logiciels malveillants, car les cybercriminels augmentent également les fonctionnalités des plates-formes MaaS existantes avec des chaînes d’attaque mises à jour pour échapper à la détection par les outils de sécurité. Cela englobe une variante de RedLine Stealer qui utilise un script Windows Batch pour lancer le malware.
« [RedLine Stealer] est distribué par divers moyens et les acteurs de la menace modifient continuellement leurs techniques pour le rendre indétectable pendant une période prolongée », a déclaré la société de cybersécurité. dit. « Il est également vendu sur les forums clandestins et encourage les cybercriminels à accomplir leurs mauvaises intentions. »