BunnyLoader, kurbanlarına yeni kötü amaçlı yazılımlar dağıtırken aynı zamanda bilgileri, kimlik bilgilerini ve kripto para birimlerini çalabilen, hızla gelişen bir kötü amaçlı yazılımdır.
Hizmet olarak BunnyLoader kötü amaçlı yazılımı (MaaS), Eylül 2023'teki ilk tespitinden bu yana özelliklerini düzenli olarak geliştirdi.
Palo Alto Networks'e göre altyapı, paketleyiciler, şifreleme ve sızma yöntemleri gibi taktikler, teknikler ve prosedürlerde (TTP'ler) yapılan tutarlı iyileştirmeler, saldırganın tespit edilmekten kaçınma becerisine yardımcı oluyor.
Ayrıca siber güvenlik araştırmacılarının tehdit aktörlerinin eylemlerini belirleme ve değerlendirme kapasitesini engellemeyi de amaçlıyor.
BunnyLoader'dan sorumlu tehdit aktörü, 11 Şubat 2024'te BunnyLoader 3.0'ın yayınlandığını duyurdu ve kötü amaçlı yazılımın “tamamen yeniden tasarlandığını ve %90 oranında iyileştirildiğini” iddia etti.
Tehdit aktörü, BunnyLoader yüklerinin aşağıdakileri içerecek şekilde iyileştirildiğini iddia ediyor:
- Yükler/modüller “geliştirilmiş performans için tamamen yeniden yazıldı”
- Azaltılmış yük boyutu
- Gelişmiş keylogging yetenekleri
BunnyLoader'ın Gelişimi
BunnyLoader hızlı bir şekilde gelişti. Sürüm 1.0, karanlık ağda C/C++ yükleyici kötü amaçlı yazılım ve MaaS botnet olarak pazarlanmaktadır.
Bu kötü amaçlı yazılımın sorumlusu “Player” veya “Player_Bunny” tehdit aktörüdür. Kötü amaçlı yazılımın yaratıcısı, bunun Rus sistemlerine dağıtılmasını yasaklıyor.
Eylül 2023'ün sonuna gelindiğinde BunnyLoader'da hızlı bir yenileme çalışması yapıldı. BunnyLoader 2.0, yazar tarafından piyasaya sürüldü ve Eylül ayının sonunda vahşi doğada görüldü.
Kötü amaçlı yazılımın “özel” bir sürümü, geliştirici tarafından Ekim ayında 350 ABD doları karşılığında kullanıma sunuldu. İlk sürümün aksine, yaratıcı bu özel sürümü gizledi ve antivirüs korumalarını atlatmak için sık sık güncellemeler yayınladı.
BunnyLoader 3.0'ın Özellikleri
Kıdemli tehdit istihbaratı araştırmacısı @ RussianPanda9xx, BunnyLoader 3.0'ın X (Twitter) üzerinde yayınlandığını kamuya açıkladı.
En yeni sürüm olan BunnyLoader 3.0, C2 sunucularında farklı bir dizin yapısı kullanır.
BunnyLoader 3.0'daki asıl kötü amaçlı yük, tehdit aktörü tarafından BunnyLoader kötü amaçlı yazılımına dahil edilmiş bir damlalık kullanılarak iletilir ve bir CMD dosyası aracılığıyla gönderilir.
.webp)
BunnyLoader 3.0 modüllerini indirirken araştırmacılar aşağıdaki URL yapısını keşfettiler.
.webp)
Gelişmiş KeyLogging Yetenekleri
“BunnyLoader 3.0 tuş kaydedici tüm tuş vuruşlarını kaydeder ve bunları %localappdata%\Temp klasöründeki günlük dosyalarına kaydeder.
Palo Alto Networks araştırmacıları, Cyber Security News ile keylogger'ın kurbanın hassas uygulama veya hizmetlerde kimlik doğrulamasını ne zaman yaptığını belirlemeye çalıştığını paylaştı.
.webp)
Ek olarak, BunnyLoader 3.0 çalma modülü bağımsız olarak çalışır, verileri doğrudan C2 sunucusuna sızdırır ve şifreleri çalar.
Belirli bir iletişim rutini kullanan BunnyLoader 3.0 kesme modülü ara sıra C2 ile bağlantı kurar.
Hedefe bir kripto para birimi cüzdanının adını ve tehdit aktörünün kontrol ettiği ilgili cüzdan adresini sağlayarak C2, kesme aracını tetikler.
BunnyLoader 3.0 DoS modülü, C2'den gelen komutları beklemek için özel bir iletişim prosedürü kullanır.
Modüle, C2 tarafından, belirli bir URL'ye karşı GET veya POST protokolünü kullanarak bir HTTP taşması saldırısı başlatması talimatı verilebilir.
Bu nedenle değişen stratejileri ve tehdidin dinamik doğasını ortaya çıkararak kullanıcıların savunmalarını güçlendirmek ve varlıklarını korumak için daha iyi donanıma sahip olmaları gerekmektedir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.