Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

BunnyLoader: Malware como Servicio (MaaS) Emergente

Escrito por Scarlet Mendoza | Oct 26, 2023 11:45:15 PM

Los expertos en seguridad hallaron un nuevo servicio de malware (MaaS), 'BunnyLoader', promocionado en varios foros de hackers como un cargador sin archivos capaz de sustraer y alterar el contenido del portapapeles del sistema.El malware está en constante evolución, con actualizaciones que incorporan nuevas funcionalidades y rectificaciones de errores. Ahora puede descargar y ejecutar cargas maliciosas, registrar teclas, sustraer datos sensibles y criptomonedas, y efectuar comandos a distancia.

BunnyLoader hizo su primera aparición el 4 de septiembre. Posteriormente, sus creadores incorporaron características adicionales, como varios mecanismos anti-detección y mayores capacidades de sustracción de información, lanzando una segunda versión significativa hacia finales de mes.

 

¿Qué es BunnyLoader?

 

 

BunnyLoader es una amenaza emergente en el paisaje de la ciberseguridad, categorizada como un servicio de malware o Malware-as-a-Service (MaaS). Este malware, escrito principalmente en C/C++, actúa como un cargador sin archivo (fileless loader) que ejecuta actividades maliciosas directamente en la memoria del sistema, dificultando su detección por parte de los expertos en ciberseguridad​​. Aquí te dejamos una descripción más detallada de BunnyLoader y su impacto en la seguridad cibernética

 

Te podría interesar leer:  El auge del Malware como Servicio: Una Amenaza Peligrosa

 

Desarrollo y Disponibilidad

 

BunnyLoader debutó el 4 de septiembre de 2023 y ha estado en desarrollo continuo desde entonces, con nuevas características y mejoras que se agregan regularmente. Se ofrece en varios foros de hacking por un precio de $250 por una licencia de por vida, lo que lo hace accesible para actores maliciosos con diversos grados de recursos financieros​​.

 

Podría interesarte leer: Descubriendo los canales en Telegram de la Dark Web

 

Funcionalidades Principales

 

  1. Ejecución de Comandos Remotos (RCE): Permite a los atacantes ejecutar comandos en los sistemas afectados de forma remota.
  2. Keylogging: Registra las pulsaciones de teclas, proporcionando a los atacantes acceso a contraseñas y otra información confidencial.
  3. Monitoreo del Portapapeles: Se utiliza para secuestrar direcciones de billeteras de criptomonedas y perpetrar fraudes.
  4. Descarga y Ejecución de Cargas Útiles de Segunda Etapa: Descarga y ejecuta malware adicional en los sistemas comprometidos, lo que puede incluir todo, desde ransomware hasta software espía.
  5. Robo de Credenciales del Navegador y Información del Sistema: Accede a y roba información almacenada en los navegadores, así como datos del sistema que pueden ser útiles para los atacantes​​.

 

Te podrá interesar leer:  Prevención de Keylogging: Una Amenaza Silenciosa

 

Técnicas de Evasión

 

Incorpora técnicas de evasión de antivirus y anti-sandbox, lo que significa que puede evitar la detección por parte de muchas soluciones de seguridad convencionales, aumentando así la probabilidad de una infiltración exitosa en los sistemas objetivo​.

El malware representa una amenaza significativa ya que puede descargar cargas útiles maliciosas, robar credenciales de navegador, manipular portapapeles para cometer fraudes con criptomonedas y extraer datos sensibles de los navegadores. Específicamente, BunnyLoader apunta a ciertas billeteras de criptomonedas y aplicaciones de mensajería, comprometiendo la seguridad del usuario​.

 

Cronograma de Desarrollo de BunnyLoader

 

Aquí te presentamos un resumen del itinerario de desarrollo de BunnyLoader:

- v1.0 (4 de septiembre): Lanzamiento inicial.
- v1.1 (5 de septiembre): Corrección de un fallo del cliente, incorporación de compresión de registros previa a la carga y adición del comando 'pwd' para el shell inverso.
- v1.2 (6 de septiembre): Mejora del ladrón con recuperación del historial de navegación, recuperación del token de autenticación NGRok y compatibilidad con rutas adicionales del navegador Chromium.
- v1.3 (9 de septiembre): Incorporación de recuperación de datos de tarjetas de crédito para 16 tipos de tarjetas y correcciones de errores en C2.
- v1.4 (10 de septiembre): Implementación de evasión de antivirus (AV).
- v1.5 (11 de septiembre): Introducción de recuperación de VPN para el ladrón, correcciones de errores en el cargador sin archivos y optimización en la carga de registros.
- v1.6 (12 de septiembre): Adición de visor de historial de descargas y técnicas anti-sandbox.
- v1.7 (15 de septiembre): Mejora en la evasión de antivirus (AV).
- v1.8 (15 de septiembre): Implementación de la función de registro de teclas y solución de varios fallos.
- v1.9 (17 de septiembre): Mejora del ladrón con recuperación de juegos, más rutas compatibles del navegador Chromium y adición de una recuperación de billetera de escritorio.
- v2.0 (27 de septiembre): Actualización de la interfaz de usuario de C2, corrección de vulnerabilidades críticas, incluyendo inyección SQL y XSS, detección de intentos de explotación introducida y optimización adicional de las funcionalidades del ladrón y del cargador sin archivos.

 

Te podría interesar leer sobre:  ¿Cómo Evitar Ataques de Inyecciones SQL?

 

En resumen, BunnyLoader es una manifestación del modelo emergente de Malware-as-a-Service (MaaS), que facilita a los actores maliciosos la adquisición y operación de herramientas maliciosas. Las capacidades multifacéticas de BunnyLoader y su diseño evasivo lo convierten en una amenaza formidable para los usuarios y las organizaciones. Es imperativo que las estrategias de ciberseguridad se adapten y evolucionen para enfrentar y mitigar eficazmente las amenazas presentadas por BunnyLoader y otros malwares similares.