นักวิจัยด้านความปลอดภัยพบซอฟต์แวร์มัลแวร์บริการ (Malware-as-a-Service หรือ MaaS) ใหม่
ที่มีชื่อว่า ‘BunnyLoader’ ถูกโฆษณาบนหลายฟอรัมของแฮกเกอร์เป็นเป็นตัวโหลดแบบไร้ไฟล์ที่สามารถขโมยและแทนที่เนื้อหาในคลิปบอร์ดของระบบได้ ซอฟต์แวร์มัลแวร์นี้กำลังพัฒนาอย่างรวดเร็ว โดยมีการอัปเดตเพิ่มคุณลักษณะใหม่และแก้ไขบั๊กต่าง ๆ อย่างต่อเนื่อง ปัจจุบัน BunnyLoader นี้สามารถดาวน์โหลดและ
ดำเนินการเพย์โหลด, บันทึกคีย์, ขโมยข้อมูลที่เป้นความลับและสกุลเงินดิจิทัล และดำเนินการคำสั่งระยะไกลได้
BunnyLoader เวอร์ชันแรกเปิดตัวเมื่อวันที่ 4 กันยายน นับตั้งแต่นั้นเป็นต้นมา นักพัฒนาได้เพิ่มฟังก์ชันเพิ่มเติม เช่น กลไกป้องกันการตรวจจับหลายรูปแบบและความสามารถในการดักข้อมูลเพิ่มเติม โดยการเผยแพร่เวอร์ชันที่สองที่สำคัญต่อไปเมื่อใกล้จะจบเดือนนี้ นอกจากนี้ นักวิจัยจาก Zscaler ยังได้สังเกตว่า BunnyLoader กำลังได้รับความนิยมอย่างรวดเร็วในหมู่อาชญากรไซเบอร์ เนื่องจากเป็นมัลแวร์ที่มีฟีเจอร์มากมายในราคาที่ถูก
Command and Control Panel ของ BunnyLoader ช่วยให้ผู้ไม่ประสงค์ดีที่เพิ่งเริ่มต้น สามารถตั้งค่าเพย์โหลดขั้นที่สอง, เปิดใช้งานการล็อกคีย์, การขโมยข้อมูลรับรอง, การจัดการคลิปบอร์ด (สำหรับการขโมยสกุลเงินดิจิทัล) และเรียกใช้คำสั่งระยะไกลบนอุปกรณ์ที่ติดไวรัส
ในรายงานล่าสุดเผยว่า หลังจากถูกเรียกใช้งานบนอุปกรณ์ที่ถูกโจมตี BunnyLoader จะสร้างค่าใหม่ ใน Windows Registry เพื่อให้มีความคงที่, ซ่อนหน้าต่างของมัน, ตั้งค่า Mutex เพื่อหลีกเลี่ยงหลายอินสแตนซ์ของตัวเอง และเพิ่มข้อมูลของเหยื่อเข้าไปใน Control Panel
BunnyLoader จะทำการตรวจสอบหลายครั้งเพื่อดูว่าทำงานบนแซนด์บ็อกซ์หรือสภาพแวดล้อมจำลองหรือไม่ และจะส่งข้อผิดพลาดที่ไม่เข้ากันของสถาปัตยกรรมปลอม หากผลลัพธ์เป็นค่าบวก นอกจากฟังก์ชันที่ถูกกล่าวถึงไว้แล้ว มัลแวร์นี้ยังมีโมดูลในการขโมยข้อมูลที่เก็บไว้ในเบราว์เซอร์เว็บ (รหัสผ่าน, บัตรเครดิต, ประวัติการเรียกดู), กระเป๋าสตางค์คริปโต (cryptocurrency wallets), VPN, แอปพลิเคชันการส่งข้อความ และอื่น ๆ โดยพื้นฐานแล้วทำหน้าที่เป็นโปรแกรมที่ขโมยข้อมูล โดยข้อมูลที่ถูกขโมยทั้งหมดจะถูกบีบอัดเป็นไฟล์ ZIP ก่อนที่จะถูกส่งออกไปยังเซิร์ฟเวอร์ Command and Control (C2) ของผู้ไม่ประสงค์ดี
BunnyLoader รองรับการเขียนเพย์โหลดลงในดิสก์ก่อนที่จะดำเนินการ และยังสามารถเรียกใช้จากหน่วยความจำระบบ (แบบไม่มีไฟล์) โดยใช้เทคนิค Process Hollowing
จากการที่ Zscaler ติดตามการพัฒนาและการประกาศของมัลแวร์ในฟอรัมแฮ็กเกอร์หลายแห่ง สังเกตเห็นว่ามีการอัปเดตมากมายนับตั้งแต่เปิดตัวครั้งแรก ตามรายละเอียดด้านล่างนี้:
- เวอร์ชัน 1.0 (4 กันยายน): การเปิดตัวครั้งแรก
- v1.1 (5 กันยายน): แก้ไขข้อผิดพลาดของไคลเอ็นต์ แนะนำการบีบอัดบันทึกก่อนอัปโหลด และเพิ่มคำสั่ง ‘pwd’ สำหรับ Reverse Shell
- เวอร์ชัน 1.2 (6 กันยายน): ตัวขโมยที่ได้รับการปรับปรุงพร้อมการกู้คืนประวัติเบราว์เซอร์ การกู้คืนโทเค็นการรับรองความถูกต้อง NGRok และรองรับพาธเบราว์เซอร์ Chromium เพิ่มเติม
- v1.3 (9 กันยายน): เพิ่มการกู้คืนบัตรเครดิตสำหรับการ์ด 16 ประเภท และแก้ไขข้อบกพร่อง C2
- v1.4 (10 ก.ย.): ใช้งานการหลีกเลี่ยง AV
- เวอร์ชัน 1.5 (11 กันยายน): เปิดตัวการกู้คืน VPN สำหรับผู้ไม่ประสงค์ดี การแก้ไขข้อผิดพลาดของตัวโหลดแบบไม่มีไฟล์ และการเพิ่มประสิทธิภาพการโหลดบันทึก
- v1.6 (12 ก.ย.): เพิ่มโปรแกรมดูประวัติการดาวน์โหลดและเทคนิคแอนตี้แซนด์บ็อกซ์
- เวอร์ชัน 1.7 (15 กันยายน): การหลีกเลี่ยง AV ขั้นสูง
- เวอร์ชัน 1.8 (15 กันยายน): เพิ่มฟังก์ชันการทำงานของคีย์ล็อกเกอร์และแก้ไขข้อผิดพลาดต่างๆ
- เวอร์ชัน 1.9 (17 กันยายน): ตัวขโมยที่ได้รับการปรับปรุงพร้อมการกู้คืนเกม เส้นทางเบราว์เซอร์ Chromium เพิ่มเติม และเพิ่มการกู้คืนกระเป๋าสตางค์บนเดสก์ท็อป
- เวอร์ชัน 2.0 (27 กันยายน): อัปเดต C2 GUI แก้ไขช่องโหว่ที่สำคัญ รวมถึงการแทรก SQL และ XSS นำเสนอการตรวจจับความพยายามในการหาประโยชน์ และฟังก์ชันการทำงานของตัวขโมยและตัวโหลดแบบไร้ไฟล์ที่ได้รับการปรับปรุงให้ดียิ่งขึ้น
ปัจจุบัน BunnyLoader จำหน่ายในราคา 250 เหรียญสหรัฐ ในขณะที่เวอร์ชัน “private stub” ซึ่งมีการป้องกันการวิเคราะห์ที่แข็งแกร่งขึ้น การแทรกในหน่วยความจำ การหลีกเลี่ยง AV และกลไกการคงอยู่เพิ่มเติม ขายในราคา 350 เหรียญสหรัฐ และในราคาที่ถูกนี้เมื่อรวมกับวงจรการพัฒนาที่รวดเร็ว ทำให้ BunnyLoader เป็นตัวเลือกที่ให้ผลกำไรสำหรับอาชญากรไซเบอร์ที่กำลังมองหาข้อเสนอล่วงหน้าสำหรับโครงการมัลแวร์ที่เกิดขึ้นใหม่ ก่อนที่จะมีชื่อเสียงและเพิ่มอัตราของพวกเขา
Ref : https://www.bleepingcomputer.com/news/security/new-bunnyloader-threat-emerges-as-a-feature-rich-malware-as-a-service/