Ciberseguridad 360 | Nueva variante del malware BunnyLoader con funciones de ataque modulares

Investigadores de ciberseguridad han descubierto una variante actualizada de un ladr�n y cargador de malware llamado BunnyLoader que modulariza sus diversas funciones, adem�s de permitirle eludir la detecci�n.

"BunnyLoader est� desarrollando malware de forma din�mica con capacidad para robar informaci�n, credenciales y criptomonedas, as� como para entregar malware adicional a sus v�ctimas", se�al� la Unit 42 de Palo Alto Networks en un informe publicado la semana pasada.

La nueva versi�n, apodada BunnyLoader 3.0, fue anunciada por su desarrollador llamado Player (o Player_Bunny) el 11 de febrero de 2024, con m�dulos reescritos para el robo de datos, tama�o reducido de la carga �til y capacidades mejoradas de keylogging.

BunnyLoader fue documentado por primera vez por Zscaler ThreatLabz en septiembre de 2023, describi�ndolo como malware-as-a-service (MaaS) dise�ado para recolectar credenciales y facilitar el robo de criptomonedas. Inicialmente se ofrec�a mediante suscripci�n por 250 d�lares al mes.

Desde entonces, el malware ha sido objeto de frecuentes actualizaciones destinadas a eludir las defensas antivirus, as� como a ampliar sus funciones de recopilaci�n de datos, y BunnyLoader 2.0 se public� a finales de ese mismo mes.

La tercera generaci�n de BunnyLoader va un paso m�s all�, no s�lo incorporando nuevas funciones de denegaci�n de servicio (DoS) para montar ataques de inundaci�n HTTP contra una URL de destino, sino tambi�n dividiendo sus m�dulos stealer, clipper, keylogger y DoS en binarios distintos.

"Los operadores de BunnyLoader pueden optar por desplegar estos m�dulos o utilizar los comandos integrados de BunnyLoader para cargar el malware que deseen", explica Unit 42.

Las cadenas de infecci�n que distribuyen BunnyLoader tambi�n se han vuelto cada vez m�s sofisticadas, aprovechando un dropper previamente no documentado para cargar PureCrypter, que luego se bifurca en dos ramas separadas.

Mientras que una rama lanza el cargador PureLogs para distribuir finalmente el ladr�n PureLogs, la segunda secuencia de ataque lanza BunnyLoader para distribuir otro malware ladr�n llamado Meduza.

"En el siempre cambiante panorama de MaaS, BunnyLoader sigue evolucionando, lo que demuestra la necesidad de los actores de amenazas de reequiparse con frecuencia para evadir la detecci�n", dijeron los investigadores de Unit 42.

El desarrollo se produce en medio del uso continuado del malware SmokeLoader (tambi�n conocido como Dofoil o Sharik) por parte de una presunta banda rusa de ciberdelincuentes llamada UAC-006 para atacar al gobierno ucraniano y a entidades financieras. Se sabe que est� activo desde 2011.

Entre mayo y noviembre de 2023 se registraron hasta 23 oleadas de ataques de phishing con SmokeLoader, seg�n un exhaustivo informe publicado por el Centro Estatal de Ciberprotecci�n de Ucrania (SCPC).

"SmokeLoader, que es principalmente un cargador con capacidades a�adidas de robo de informaci�n, ha sido vinculado a operaciones de ciberdelincuencia rusa y se encuentra f�cilmente disponible en foros rusos de ciberdelincuencia", declar� la Unit 42.

A BunnyLoader y SmokeLoader se suman dos nuevos programas maliciosos de robo de informaci�n con nombre en c�digo Nikki Stealer y GlorySprout, este �ltimo desarrollado en C++ y ofrecido por 300 d�lares por un acceso de por vida. Seg�n RussianPanda, se trata de un clon de Taurus Stealer.

"Una diferencia notable es que GlorySprout, a diferencia de Taurus Stealer, no descarga dependencias DLL adicionales de los servidores C2", afirma el investigador. "Adem�s, GlorySprout carece de la funci�n Anti-VM que s� est� presente en Taurus Stealer".

Los hallazgos tambi�n siguen al descubrimiento de una nueva variante de WhiteSnake Stealer que permite el robo de datos sensibles cr�ticos de sistemas comprometidos. "Esta nueva versi�n ha eliminado el c�digo de descifrado de cadenas y ha hecho que el c�digo sea f�cil de entender", dijo SonicWall.

Fuente: thehackernews