BunnyLoader : une nouvelle menace ?

Les experts en cybersécurité ont découvert une nouvelle menace de logiciel malveillant en tant que service (MaaS), appelée BunnyLoader, qui fait l’objet d’annonces de vente dans le milieu de la cybercriminalité.

« BunnyLoader offre diverses fonctionnalités telles que le téléchargement et l’exécution d’une charge utile de deuxième niveau, le vol des informations d’identification du navigateur et des informations système, et bien plus encore », ont déclaré les chercheurs de Zscaler ThreatLabz, Niraj Shivtarkar et Satyam Singh, dans une analyse publiée la semaine dernière.

Parmi ses autres capacités, citons l’exécution de commandes à distance sur la machine infectée, un enregistreur de frappe pour capturer les frappes au clavier et une fonctionnalité de clippage pour surveiller le presse-papiers de la victime et remplacer le contenu correspondant aux adresses des portefeuilles de crypto-monnaies par des adresses contrôlées par l’acteur.
Chargeur basé sur C/C++ proposé au prix de 250 dollars pour une licence à vie, le malware serait en développement continu depuis ses débuts le 4 septembre 2023, avec de nouvelles fonctionnalités et des améliorations qui intègrent des techniques d’évasion anti-sandbox et antivirus.
Les mises à jour du 15 septembre et du 27 septembre 2023 ont également corrigé des problèmes de commande et de contrôle (C2) ainsi que des failles « critiques » d’injection SQL dans le panneau C2 qui auraient permis d’accéder à la base de données.

Selon l’auteur PLAYER_BUNNY (alias PLAYER_BL), l’un des principaux arguments de vente de BunnyLoader est sa fonction de chargement sans fichier qui « rend difficile la suppression par les antivirus des logiciels malveillants de l’attaquant ».
Le panneau C2 propose des options permettant aux acheteurs de surveiller les tâches actives, les statistiques d’infection, le nombre total d’hôtes connectés et inactifs, ainsi que les journaux des voleurs. Il permet également de purger les informations et de contrôler à distance les machines compromises.
Le mécanisme d’accès initial exact utilisé pour distribuer BunnyLoader n’est pas encore clair. Une fois installé, le logiciel malveillant établit la persistance via une modification du registre Windows et effectue une série de vérifications dans le bac à sable et sur les machines virtuelles avant d’activer son comportement malveillant en envoyant des demandes de tâches au serveur distant et en récupérant les réponses souhaitées.
Il s’agit notamment des tâches Trojan Downloader pour télécharger et exécuter les logiciels malveillants de niveau suivant, Intruder pour exécuter un keylogger et stealer pour récolter des données à partir d’applications de messagerie, de clients VPN, de navigateurs web), Clipper pour rediriger les paiements de crypto-monnaie vers des transactions illicites. L’étape finale consiste à encapsuler toutes les données collectées dans une archive ZIP et à la transmettre au serveur.

« BunnyLoader est une nouvelle menace MaaS qui évolue continuellement en ajoutant de nouvelles fonctionnalités et en menant des campagnes réussies contre ses cibles », ont déclaré les chercheurs. Ces résultats font suite à la découverte d’un autre chargeur basé sur Windows appelé MidgeDropper qui a probablement été distribué par le biais d’emails de phishing et qui transmet une charge utile sans nom à partir d’un serveur distant. Ce développement intervient également au moment où deux nouvelles souches de logiciels malveillants voleurs d’informations nommées Agniane Stealer Murk Stealer prennent en charge le vol d’une large gamme d’informations sur les points d’extrémité violés. Alors qu’Agniane Stealer est disponible par abonnement mensuel à 50 $, le dernier est disponible sur GitHub à des fins prétendument éducatives, ce qui permet à d’autres acteurs de la menace d’en abuser. Parmi les autres voleurs hébergés sur GitHub figurent Stealerium Impost3r Blank Grabber Nivistealer Creal stealer cstealer

« Tout en prétendant que l’outil est destiné à des fins éducatives, l’auteur se contredit lorsqu’il recommande de ne pas télécharger les binaires finaux sur des plateformes telles que VirusTotal (VT), où les solutions antivirus peuvent détecter les signatures, »Il s’agit simplement de nouveaux services de logiciels malveillants ; les cybercriminels augmentent également les caractéristiques des plateformes MaaS existantes ; ils mettent à jour les chaînes d’attaque ; ils échappent à la détection des outils de sécurité. Cette variante englobe RedLine Stealer, qui utilise un script Windows Batch pour lancer le logiciel malveillant « [RedLine Stealer] est distribué par divers moyens ; les acteurs de la menace apportent continuellement des modifications aux techniques afin de les rendre indétectables », ont déclaré les chercheurs de Cyfirma. « Il est vendu sur les forums clandestins et encourage les cybercriminels à accomplir leurs mauvaises intentions », a déclaré la société.

Enregistrez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.