Un nuevo malware conocido como BunnyLoader 3.0 ha sido descubierto por la Unidad 42 de Palo Alto Networks. Se trata de una variante actualizada del malware stealer y loader que modulariza sus funciones y evita su detección. Según el informe, BunnyLoader es capaz de robar información, credenciales y criptomonedas, y envía malware adicional a sus víctimas. El desarrollador de BunnyLoader, Player (o Player_Bunny), anunció la nueva versión el 11 de febrero de 2024, con módulos reescritos para el robo de datos, tamaños de carga útil reducidos y capacidades mejoradas de keylogging.
BunnyLoader fue documentado por primera vez en septiembre de 2023 por Zscaler ThreatLabz. Inicialmente se ofrecía en una suscripción de $250 al mes, pero desde entonces ha sufrido actualizaciones frecuentes para evadir las defensas antivirus y expandir sus funciones de recolección de datos. BunnyLoader 2.0 fue lanzado a finales del mismo mes y la tercera generación de BunnyLoader incorpora nuevas características de ataque de denegación de servicio (DoS) para llevar a cabo ataques de inundación HTTP contra una URL de destino. También divide sus módulos de stealer, clipper, keylogger y DoS en archivos binarios distintos.
La cadena de infección que entrega BunnyLoader se ha vuelto mucho más sofisticada. Se aprovecha de un dropper previamente no documentado para cargar PureCrypter, que luego se bifurca en dos ramas separadas. Mientras que una rama lanza el cargador PureLogs para finalmente entregar el stealer PureLogs, la segunda secuencia de ataque deja caer BunnyLoader para distribuir otro malware stealer llamado Meduza.
El uso continuo del malware SmokeLoader por parte de un presunto equipo de cibercriminales rusos para atacar al gobierno y entidades financieras ucranianas es alarmante. BunnyLoader y SmokeLoader se suman a otros malware roba información como Nikki Stealer y GlorySprout, este último desarrollado en C++ y ofrecido por $300 por acceso vitalicio. La diferencia notable es que GlorySprout no descarga dependencias DLL adicionales de servidores C2 y carece de la función Anti-VM que está presente en Taurus Stealer.
En resumen, BunnyLoader es un malware en constante evolución que sigue demostrando la necesidad de que los actores de amenazas se reequipen con frecuencia para evadir la detección. A medida que la ciberdelincuencia sigue avanzando, la seguridad debe ser una prioridad para todas las empresas y organizaciones.
Vía The Hacker News
