خانه » سطوح جدید بدافزار BunnyLoader با ویژگی‌ های حمله ماژولار

سطوح جدید بدافزار BunnyLoader با ویژگی‌ های حمله ماژولار

توسط Vulnerbyte
211 بازدید
BunnyLoader

محققان امنیت سایبری یک نوع به روز شده از یک رباینده و لودر بدافزار به نام BunnyLoader را کشف کرده‌اند که عملکردهای مختلف، آن را ماژولار می‌کند و همچنین به آن اجازه می دهد تا از شناسایی توسط مکانیزم‌های امنیتی بگریزد.

 BunnyLoaderبه صورت پویا در حال توسعه بدافزار با قابلیت سرقت اطلاعات، گواهی‌های اعتبار و ارزهای دیجیتال و همچنین ارائه بدافزارهای اضافی به قربانیان خود است.

نسخه جدید با نام BunnyLoader 3.0 توسط توسعه دهنده آن به نام Player  (یا Player_Bunny) در یازدهم فوریه 2024 با ماژول های بازنویسی شده برای سرقت اطلاعات، کاهش حجم پیلود و افزایش قابلیت‌های کیلاگر معرفی شد.

BunnyLoader اولین بار توسط آزمایشگاه Zscaler  در سپتامبر 2023 مستند گردید که آن را به عنوان بدافزار به عنوان یک سرویس (MaaS) توصیف کرد. BunnyLoader به منظور جمع آوری گواهی های اعتبار و تسهیل سرقت ارزهای دیجیتال طراحی شده است و در ابتدا به صورت اشتراک ماهیانه 250 دلار ارائه می‌گردید.

از آن زمان این بدافزار به‌روزرسانی‌های مکرری را انجام داده است که با هدف دور زدن آنتی‌ویروس و مکانیزم های امنیتی و همچنین گسترش عملکردهای جمع‌آوری داده‌های آن انجام می‌شود و BunnyLoader 2.0 تا پایان همان ماه منتشر شد.

نسل سوم BunnyLoader نه تنها با ترکیب ویژگی‌های جدید حمله انکار سرویس (DoS) برای انجام حملات HTTP flood علیه URL هدف، بلکه با تقسیم ماژول‌های رباینده، کلیپر، کیلاگر و DoS آن به باینری‌های مجزا، قدمی فراتر گذاشته است.

هدر HTTP
نمونه‌ای از هدر HTTP از اتصال اولیه به سرور فرمان و کنترل BunnyLoader

اپراتورهای BunnyLoader می‌توانند این ماژول‌ها را مستقر کنند و یا از دستورات داخلی BunnyLoader برای بارگذاری بدافزار انتخابی خود استفاده نمایند.

زنجیره‌های نفوذی که BunnyLoader را تحویل می‌دهند نیز به تدریج پیچیده‌تر شده‌اند و از یک فایل نصب کنننده بدافزار جدید به لودر PureCrypter استفاده می‌کنند که سپس به دو شاخه جداگانه تقسیم می‌شود.

BunnyLoader
زنجیره نفوذ ماه دسامبر

BunnyLoader در چشم‌انداز دائماً در حال تغییر MaaS (بدافزار به عنوان یک سرویس)، به تکامل خود ادامه می‌دهد و حاکی از آن است که عوامل تهدید به طور مکرر ابزار جدیدی را برای فرار از شناسایی نیاز دارند.

این توسعه در بحبوحه استفاده مداوم از بدافزار SmokeLoader  (معروف به Dofoil یا Sharik) توسط یک ارائه دهنده سرویس های جرایم سایبری روسی به نام UAC-006 به منظور نفوذ به دولت و نهادهای مالی اوکراین صورت گرفت و از سال 2011 فعال می‌باشد.

بر اساس گزارش جامعی که توسط مرکز حفاظت سایبری دولتی اوکراین (SCPC) منتشر شده است، حدود 23 موج حمله فیشینگ که SmokeLoader را تحویل می‌دهند، بین ماه مِی و نوامبر 2023 ثبت شده است.

SmokeLoader در اصل لودری با قابلیت‌های اضافی سرقت اطلاعات با عملیات جرایم سایبری روسیه مرتبط می‌باشد و به راحتی در انجمن‌های جرایم سایبری روسیه در دسترس است.

به BunnyLoader و SmokeLoader دو بدافزار رباینده اطلاعات جدید با نام‌های رمز Nikki Stealer و GlorySprout اضافه می‌شوند که مورد دوم در C++  توسعه یافته و با قیمت 300 دلار برای دسترسی مادام‌العمر عرضه می‌شود. به گزارش RussianPanda، رباینده یک کپی از Taurus Stealer است.

یک تفاوت قابل توجه این است که GlorySprout، بر خلاف Taurus Stealer، وابستگی های اضافی DLL را از سرورهای C2 دانلود نمی‌کند. علاوه بر این، GlorySprout فاقد ویژگی Anti-VM است که در Taurus Stealer وجود دارد.

این یافته ها همچنین به دنبال کشف نوع جدیدی از WhiteSnake Stealer محقق شده است که امکان سرقت داده های حساس از سیستم های تحت نفوذ را فراهم می‌کند. این نسخه جدید، کد رمزگشایی رشته را حذف کرده و درک کد را آسان کرده است.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید