Güvenlik araştırmacıları, sistem panosunun içeriğini çalabilen ve değiştirebilen, dosyasız bir yükleyici olarak birden fazla hacker forumunda reklamı yapılan ‘BunnyLoader’ adlı yeni bir hizmet olarak kötü amaçlı yazılım (MaaS) keşfetti.
Kötü amaçlı yazılım, yeni özellikler ekleyen güncellemeler ve hata düzeltmeleriyle birlikte hızlı bir şekilde geliştirilmektedir. Şu anda yükleri, günlük anahtarlarını indirip çalıştırabiliyor, hassas verileri ve kripto para birimini çalabiliyor ve uzaktan komutları yürütebiliyor.
BunnyLoader’ın ilk sürümü 4 Eylül’de ortaya çıktı. O zamandan bu yana geliştiriciler, çoklu tespit önleme mekanizmaları ve ekstra bilgi çalma yetenekleri gibi daha fazla işlev ekledi ve ayın sonuna doğru ikinci bir ana sürümü yayınladı.
Bulut güvenlik şirketi Zscaler’deki araştırmacılar, BunnyLoader’ın düşük fiyata sunulan, zengin özelliklere sahip bir kötü amaçlı yazılım olarak siber suçlular arasında hızla popüler hale geldiğini belirtiyor.
BunnyLoader’a genel bakış
BunnyLoader’ın komuta ve kontrol paneli, düşük vasıflı siber suçluların bile ikinci aşama bir veri yüklemesine, tuş kaydetmeyi, kimlik bilgileri çalmayı, pano manipülasyonunu (kripto para birimini çalmak için) ve virüs bulaşmış cihazlarda uzaktan komutları çalıştırmayı etkinleştirmesine olanak tanır.
Yakın tarihli bir raporda araştırmacılar, güvenliği ihlal edilmiş bir cihazda çalıştırıldıktan sonra BunnyLoader’ın Windows Kayıt Defteri’nde kalıcılık için yeni bir değer oluşturduğunu, penceresini gizlediğini, kendisinin birden çok örneğini önlemek için bir muteks ayarladığını ve kurbanı kontrol paneline kaydettiğini söylüyor .
Kötü amaçlı yazılım, sanal alanda mı yoksa simüle edilmiş bir ortamda mı çalıştığını belirlemek için çeşitli kontroller gerçekleştirir ve sonuç olumluysa sahte mimari uyumsuzluk hatası verir.
Bahsedilen işlevlerin yanı sıra, kötü amaçlı yazılım ayrıca web tarayıcılarında (şifreler, kredi kartları, tarama geçmişi), kripto para birimi cüzdanlarında, VPN’lerde, mesajlaşma uygulamalarında ve daha fazlasında depolanan verileri çalmaya yönelik modüller de içerir ve esasen standart bir bilgi hırsızı görevi görür.
Çalınan tüm veriler, tehdit aktörünün komuta ve kontrol (C2) sunucusuna aktarılmadan önce bir ZIP arşivine sıkıştırılır.
Araştırmacılara göre BunnyLoader, yükleri çalıştırmadan önce diske yazmayı destekliyor ve ayrıca süreç boşaltma tekniğini kullanarak bunları sistem belleğinden (dosyasız) çalıştırabiliyor.
Hızlı gelişim
Zscaler, kötü amaçlı yazılımın gelişimini ve çeşitli bilgisayar korsanlığı forumlarındaki duyurularını izledi ve ilk çıkışından bu yana çok sayıda güncellemeden geçtiğini fark etti.
İşte BunnyLoader’ın geliştirme zaman çizelgesinin bir özeti:
- v1.0 (4 Eylül): İlk sürüm.
- v1.1 (5 Eylül): İstemci hatası düzeltildi, yüklemeden önce günlük sıkıştırması getirildi ve ters kabuk için ‘pwd’ komutu eklendi.
- v1.2 (6 Eylül): Tarayıcı geçmişini kurtarma, NGRok kimlik doğrulama belirteci kurtarma ve desteklenen ek Chromium tarayıcı yolları ile geliştirilmiş hırsız.
- v1.3 (9 Eylül): 16 kart türü için kredi kartı kurtarma eklendi ve C2 hataları düzeltildi.
- v1.4 (10 Eylül): AV kaçırma uygulandı.
- v1.5 (11 Eylül): Hırsızlara VPN kurtarma, dosyasız yükleyici hata düzeltmeleri ve günlük yükleme optimizasyonları eklendi.
- v1.6 (12 Eylül): İndirme geçmişi görüntüleyici ve korumalı alan önleme teknikleri eklendi.
- v1.7 (15 Eylül): Geliştirilmiş AV kaçınması.
- v1.8 (15 Eylül): Keylogger işlevi uygulandı ve çeşitli hatalar çözüldü.
- v1.9 (17 Eylül): Oyun kurtarma özelliğine sahip geliştirilmiş hırsız, daha fazla Chromium tarayıcı yolu ve masaüstü cüzdan kurtarma özelliği eklendi.
- v2.0 (27 Eylül): Güncellenmiş C2 GUI, SQL enjeksiyonu ve XSS de dahil olmak üzere kritik güvenlik açıkları düzeltildi, yararlanma girişimi algılama özelliği eklendi ve hırsız ve dosyasız yükleyici işlevleri daha da optimize edildi.
Mevcut haliyle BunnyLoader 250 dolara satılırken, daha güçlü anti-analiz, bellek içi enjeksiyon, AV kaçırma ve ek kalıcılık mekanizmalarına sahip “özel saplama” sürümü 350 dolara satılıyor.
Bu düşük fiyat, hızlı geliştirme döngüsüyle birleştiğinde BunnyLoader’ı, ortaya çıkan kötü amaçlı yazılım projelerinde ön plana çıkmadan ve oranlarını artırmadan önce erken fırsat arayan siber suçlular için kazançlı bir seçim haline getiriyor.
Zscaler’in raporu, kötü amaçlı yazılımın kalıcılık kazanmadan önce tespit edilmesine yardımcı olabilecek teknik ayrıntıların yanı sıra, bir bulaşmayı önleyebilecek tehlike göstergelerini de sağlıyor.