Các nhà nghiên cứu an ninh mạng đã phát hiện ra một biến thể cập nhật của trình đánh cắp và trình tải phần mềm độc hại có tên BunnyLoader mô-đun hóa các chức năng khác nhau của nó cũng như cho phép nó tránh bị phát hiện.
"BunnyLoader đang tự động phát triển phần mềm độc hại với khả năng đánh cắp thông tin, thông tin đăng nhập và tiền điện tử, cũng như cung cấp thêm phần mềm độc hại cho nạn nhân của nó", Palo Alto Networks Unit 42 cho biết trong một báo cáo được công bố vào tuần trước.
Phiên bản mới, được đặt tên là BunnyLoader 3.0, được nhà phát triển của nó công bố có tên Player (hoặc Player_Bunny) vào ngày 11 tháng 2 năm 2024, với các mô-đun được viết lại để đánh cắp dữ liệu, giảm kích thước tải trọng và khả năng keylogging nâng cao.
BunnyLoader lần đầu tiên được Zscaler ThreatLabz ghi nhận vào tháng 9/2023, mô tả nó là phần mềm độc hại dưới dạng dịch vụ (MaaS) được thiết kế để thu thập thông tin đăng nhập và tạo điều kiện cho hành vi trộm cắp tiền điện tử. Ban đầu nó được cung cấp trên cơ sở đăng ký với giá 250 đô la mỗi tháng.
Phần mềm độc hại đã trải qua các bản cập nhật thường xuyên nhằm trốn tránh các biện pháp phòng thủ chống vi-rút cũng như mở rộng các chức năng thu thập dữ liệu của nó, với BunnyLoader 2.0 được phát hành vào cuối tháng đó.
Thế hệ thứ ba của BunnyLoader tiến thêm một bước bằng cách không chỉ kết hợp các tính năng từ chối dịch vụ (DoS) mới để thực hiện các cuộc tấn công HTTP flood chống lại URL mục tiêu mà còn chia nhỏ các mô-đun đánh cắp, clipper, keylogger và DoS thành các tệp nhị phân riêng biệt.
"Các nhà khai thác BunnyLoader có thể chọn triển khai các mô-đun này hoặc sử dụng các lệnh tích hợp của BunnyLoader để tải lựa chọn phần mềm độc hại của họ", Unit 42 giải thích.
Các chuỗi lây nhiễm cung cấp BunnyLoader cũng ngày càng trở nên tinh vi hơn, tận dụng một trình nhỏ giọt trước đây không có giấy tờ để tải PureCrypter, sau đó phân nhánh thành hai nhánh riêng biệt.
Thêm vào BunnyLoader và SmokeLoader là hai phần mềm độc hại đánh cắp thông tin mới có tên mã Nikki Stealer và GlorySprout, sau này được phát triển bằng C ++ và được cung cấp với giá 300 đô la để truy cập trọn đời. Theo RussianPanda, kẻ đánh cắp là một bản sao của Taurus Stealer.
"Một sự khác biệt đáng chú ý là GlorySprout, không giống như Taurus Stealer, không tải xuống các phụ thuộc DLL bổ sung từ các máy chủ C2", nhà nghiên cứu cho biết. "Ngoài ra, GlorySprout thiếu tính năng Anti-VM có trong Taurus Stealer."
Những phát hiện này cũng theo sau việc phát hiện ra một biến thể mới của WhiteSnake Stealer cho phép đánh cắp dữ liệu nhạy cảm quan trọng từ các hệ thống bị xâm nhập. "Phiên bản mới này đã loại bỏ mã giải mã chuỗi và làm cho mã dễ hiểu", SonicWall nói.