Cyberthreat.id - Pakar keamanan siber menemukan ancaman malware-as-a-service (MaaS) lainnya yang disebut BunnyLoader yang diiklankan untuk dijual di jaringan cybercrime.

“BunnyLoader menyediakan berbagai fungsi seperti mengunduh dan mengeksekusi payload tahap kedua, mencuri kredensial browser dan informasi sistem, dan banyak lagi,” kata peneliti Zscaler ThreatLabz Niraj Shivtarkar dan Satyam Singh dalam analisis yang diterbitkan minggu lalu sebagaimana dikutip The Hacker News.

Kemampuan lainnya antara lain menjalankan perintah jarak jauh pada mesin yang terinfeksi, keylogger untuk menangkap penekanan tombol, dan fungsi clipper untuk memantau clipboard korban dan mengganti konten yang cocok dengan alamat dompet mata uang kripto dengan alamat yang dikontrol aktor.

Pemuat berbasis C/C++ ditawarkan seharga $250 untuk lisensi seumur hidup, malware ini dikatakan terus dikembangkan sejak debutnya pada 4 September 2023, dengan fitur dan penyempurnaan baru yang menggabungkan teknik penghindaran anti-sandbox dan antivirus.

Juga diperbaiki sebagai bagian dari pembaruan yang dirilis pada 15 September dan 27 September 2023, adalah masalah dengan perintah dan kontrol (C2) serta kelemahan injeksi SQL "kritis" di panel C2 yang akan memberikan akses ke database.

Nilai jual utama BunnyLoader, menurut penulis PLAYER_BUNNY (alias PLAYER_BL), adalah fitur pemuatan tanpa file yang "mempersulit antivirus untuk menghapus malware penyerang".

Panel C2 memberikan opsi bagi pembeli untuk memantau tugas aktif, statistik infeksi, jumlah total host yang terhubung dan tidak aktif, dan log pencuri. Ini juga memberikan kemampuan untuk membersihkan informasi dan mengontrol mesin yang disusupi dari jarak jauh.

Mekanisme akses awal yang tepat yang digunakan untuk mendistribusikan BunnyLoader saat ini masih belum jelas.

Setelah terinstal, malware mengatur persistensi melalui perubahan Windows Registry dan melakukan serangkaian pemeriksaan sandbox dan mesin virtual sebelum mengaktifkan perilaku jahatnya dengan mengirimkan permintaan tugas ke server jarak jauh dan mengambil respons yang diinginkan.

Ini termasuk tugas Trojan Downloader untuk mengunduh dan mengeksekusi malware tahap berikutnya, Intruder untuk menjalankan keylogger dan stealer untuk mengambil data dari aplikasi perpesanan, klien VPN, dan browser web, dan Clipper untuk mengalihkan pembayaran mata uang kripto dan mengambil keuntungan dari transaksi terlarang.

Langkah terakhir memerlukan merangkum semua data yang dikumpulkan ke dalam arsip ZIP dan mengirimkannya ke server.

“BunnyLoader adalah ancaman MaaS baru yang terus mengembangkan taktik mereka dan menambahkan fitur-fitur baru untuk melakukan kampanye yang sukses terhadap target mereka,” kata para peneliti.

Temuan ini mengikuti penemuan loader berbasis Windows lainnya yang disebut MidgeDropper yang kemungkinan didistribusikan melalui email phishing untuk mengirimkan muatan tahap kedua yang tidak disebutkan namanya dari server jarak jauh.

Perkembangan ini juga terjadi di tengah peluncuran dua jenis malware pencuri informasi baru bernama Agniane Stealer dan The-Murk-Stealer yang mendukung pencurian berbagai informasi dari titik akhir yang dibobol.

Meskipun Agniane Stealer tersedia sebagai langganan bulanan seharga $50, Agniane Stealer tersedia di GitHub untuk tujuan pendidikan, sehingga siap untuk disalahgunakan oleh pelaku ancaman lainnya.

Beberapa pencuri lain yang dihosting di GitHub termasuk Stealerium, Impost3r, Blank-Grabber, Nivistealer, Creal-stealer, dan cstealer.

“Meskipun mengklaim alat tersebut untuk tujuan pendidikan, kontradiksi penulis muncul ketika mendesak untuk tidak mengunggah biner final ke platform seperti VirusTotal (VT), di mana solusi antivirus dapat mendeteksi tanda tangannya,” kata Cyfirma.

Bukan hanya layanan malware baru, penjahat dunia maya juga menambah fitur platform MaaS yang ada dengan rantai serangan yang diperbarui untuk menghindari deteksi oleh alat keamanan.

Ini mencakup varian RedLine Stealer yang menggunakan skrip Windows Batch untuk meluncurkan malware.

“[RedLine Stealer] didistribusikan melalui berbagai cara dan pelaku ancaman terus melakukan perubahan pada teknik agar tidak terdeteksi dalam jangka waktu yang lama,” kata perusahaan keamanan siber tersebut.

“Hal ini juga dijual di forum bawah tanah dan mendorong penjahat dunia maya untuk mencapai niat jahat mereka.”[]