BunnyLoader sa funkcijama modularnog napada
Sigurnosni istraživači su otkrili ažuriranu varijantu BunnyLoader zlonamjernog softvera za učitavanje kradljivaca podataka i zlonamjernih softvera, koji modularizuje svoje različite funkcije što mu omogućava da izbjegne otkrivanje.
BUNNYLOADER
BunnyLoader primarno napisan u C/C++ programskom jeziku je učitavač bez datoteke (eng. fileless loader) koji izvršava zlonamjerne aktivnosti u memoriji, što otežava njegovo otkrivanje. Od kada je objavljen BunnyLoader zlonamjerni softver u septembru 2023. godine, on je doživio nekoliko verzija. Svaka nova verzija se adresirala na ispravke grešaka, uvođenje novih funkcionalnosti i prilagođavanjima za izbjegavanje detekcije. Ovaj zlonamjerni softver se sada prodaje po cijeni od 250 do 350 američkih dolara kroz opciju zlonamjerni softver kao usluga (eng. Malware-as-a-Service – MaaS).
Prema dostupnim informacijama, BunnyLoader zlonamjerni softver je svoje jezgro napravio oko svog panela za komandu i kontrolu (C2), koji nadgleda različite zadatke, uključujući preuzimanje i izvršavanje dodatnog zlonamjernog softvera, praćenja unosa korisnika (eng. keylogging), krađu akreditiva, manipulaciju međumemorijom (eng. clipboard) za krađu kriptovaluta i daljinsko izvršavanje komandi (eng. remote command execution – RCE). C2 panel takođe nudi statistiku, praćenje klijenata i upravljanje zadacima, pružajući zlonamjernom akteru opsežnu kontrolu nad zaraženim uređajima.
Ovaj zlonamjerni softver može da otkrije virtualna okruženja i koristi različite tehnike da izbjegne analizu, a komponenta za krađu eksfiltrira širok spektar podataka, uključujući informacije iz internet pregledača, novčanika za kriptovalute i VPN klijenata. Modul za manipulaciju međumemorije skenira međumemoriju žrtve u potrazi za adresama kriptovaluta i zamjenjuje ih kontrolisanim adresama novčanika što omogućava napadačima da preusmjere transakcije kriptovaluta.
“BunnyLoader je dinamički razvijan zlonamjerni softver sa mogućnošću krađe informacija, akreditiva i kriptovalute, kao i isporučivanja dodatnog zlonamjernog softvera svojim žrtvama.”
BUNNYLOADER 3.0
Nova verzija ovog zlonamjernog softvera je nazvana BunnyLoader 3.0 je najavljena od strane njenog autora koji se krije iza nadimka Player (ili Player_Bunny) 11. februara 2024. godine sa prepisanim modulima za krađu podataka, smanjenom veličinom korisnog opterećenja i poboljšanim mogućnostima vođenja ključeva.
Treća generacija BunnyLoader zlonamjernog softvera ide korak dalje ne samo što uključuje nove funkcije uskraćivanja usluge (eng. denial-of-service – DoS) za pokretanje HTTP flood napada na ciljni URL, već i razdvajanje njegovih modula za krađu, manipulaciju međuspremnik, praćenja unosa korisnika i DoS module u različite binarne datoteke. Zlonamjerni akteri mogu da izaberu da primjene ove module ili da koriste ugrađene komande BunnyLoader zlonamjernog softvera da učitaju svoj izbor zlonamjernog softvera.
Lanci infekcije koji isporučuju BunnyLoader takođe su progresivno postali sofisticiraniji, koristeći prethodno nedokumentovani ubacivač za zlonamjerni program za učitavanje PureCrypter, koji se zatim račva na dvije odvojene grane. Dok jedna grana pokreće PureLogs program za učitavanje da bi se na kraju isporučio PureLogs kradljivac, druga grana pušta BunnyLoader da isporuči drugi zlonamjerni softver za krađu koji se zove Meduza. Pored toga, BunnyLoader treće generacije je uveo promjenu u C2 šifrovanju komunikacije, gdje sada koristi RC4 za parametar HTTP upita.
DISTRIBUCIJA
BunnyLoader zlonamjerni softver može da zarazi uređaje koristeći nekoliko tehnika, od kojih su najčešće phishing i društveni inženjering. Žrtve su prevarene ubjedljivom elektronskom poštom ili porukama koje izgledaju kao da dolaze iz legitimnih izvora, od kojih se obično traži da preuzmu datoteku koja sadrži zlonamjerni softver. Zlonamjerni softver može takođe da inficira uređaj napadom u prolazu (eng. drive-by downloads), što se dešava kada korisnik posjeti zlonamjernu internet lokaciju.
ZAKLJUČAK
U dinamičkom okruženju ponude zlonamjernog softvera kao usluge, BunnyLoader nastavlja da se razvija, pokazujući potrebu da zlonamjerni akteri teže promjeni kako bi izbjegli otkrivanje. Sa druge strane, zlonamjerni softver kao usluga omogućava svakom zlonamjernom akteru da pristupi najsavremenijem i lakom za korištenje zlonamjernom softveru, koji može da koristi za pokretanje širokog spektra sajber napada, što predstavlja ozbiljnu opasnost za korisnike i poslovne organizacije. Ono što izaziva još veću opasnost je to što se BunnyLoader neuobičajeno brzo razvija, dodajući više funkcija kroz stalna ažuriranja i ispravke grešaka.
Otkrivanje ovih evoluirajućih taktika i dinamičke prirode ove prijetnje je jedino što može da omogući korisnicima i sigurnosnim timovima da ojačaju svoje odbrambeno okruženje i bolje zaštite svoju digitalnu imovinu.
ZAŠTITA
Evo nekoliko koraka koje korisnici i poslovne organizacije mogu preduzeti da zaštitite svoju digitalnu imovinu od prijetnji kao što je BunnyLoader zlonamjerni softver:
Redovno provjeravati pouzdane izvore vijesti o sajber bezbjednosti kako bi bili informisani o najnovijim prijetnjama,
- Koristiti provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti,
- Redovno ažuriranje operativnog sistema i aplikacija, kako bi se na vrijeme ispravili sigurnosni propusti koje zlonamjerni softver može da iskoristi,
- Korisnici bi trebalo da koriste jake lozinke i provjeru identiteta u više koraka (eng. multi-factor authentication – MFA),
- Redovno pravljenje rezervnih kopija uz pravilnu strategiju čuvanja je posljednja odbrana od gubitka podataka i omogućava njihovo vraćanje,
- Potrebno je biti oprezna sa dolaznom elektronskom poštom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja,
- Edukacija korisnika o rizicima koji se odnose na mrežu, uređaje i infrastrukturu poslovne organizacije mogu značajno pomoći u prevenciji napada, jer ljudski faktor ostaje jedna od najvećih ranjivosti u sajber bezbjednosti. Redovne obuke korisnika mogu pomoći u identifikaciji i prijavi sajber napada.