Zscaler analysiert Malware-as-a-Service „BunnyLoader“

Das Zscaler-ThreatLabz-Team entdeckte im September die in C/C++ geschriebene Malware-as-a-Service (MaaS) „BunnyLoader“, die in verschiedenen Darknet-Foren für 250 US-Dollar verkauft wird. Die Malware ist mit einem umfangreichen Funktionsumfang ausgestattet zum Diebstahl von Browser- und Systeminformationen, Keylogger, Clipboard-Monitor und Cryptocurrency-Diebstahlfunktion. Seit der ersten Entdeckung wurde die Malware kontinuierlich weiterentwickelt mit mehreren Funktions-Updates und Fehlerkorrekturen. Sie verwendet während der Angriffssequenz verschiedene Anti-Sandbox-Techniken und lädt die eigentliche Payload während der zweiten Stufe herunter. Nachdem die gewünschten Informationen auf dem befallenden System aufgespürt wurden, verkapselt Bunnyloader die Daten in einem Zip-Archiv und leitet sie an den Command&Control-Server weiter.

Die dateilose Malware besaß allein bis Ende September elf verschiede Versionen von V1.0 bis V2.0. Über ein Übersichtspanel werden Statistiken für Infektionen, die Gesamtzahl der verbundenen bzw. getrennten Clients, sowie aktive Aufgaben und Diebstahlprotokolle angezeigt, wie beispielsweise der Status zur Manipulation des Clipboards zum Diebstahl von Cryptowallets. Nach der Aktivierung führt der Bunnyloader eine Reihe von Folgeaktionen durch, wie die Erstellung eines neuen Registrierungswerts namens „Spyware_Blocker“ im Registrierungsschlüssel „Execution“, Verstecken des Fensters mit hilfe von ShowWindow() mit nCmdShow als SW_HIDE, Erzeugen von einer Mutex mit dem Namen „BunnyLoader_MUTEXCONTROL“ über CreateMutexW() und führt im Anschluss vielfältige Anti-VM-Techniken durch. Sollte eine Sandbox-Lösung gefunden werden, dann zeigt die Malware die folgende Fehlermeldung: „The version of this file is not compatible with the current version of Windows you are running. Check your computer’s system information to see whether you need an x86 (32-bit) or x64 (64-bit) version of the program, and then contact the software publisher.”

Bunnyloader führt zwei Arten von Download- und Ausführungsfunktionen aus. Bei der ersten Art wird eine Datei von einer vom C2 bereitgestellten URL heruntergeladen, die auf die Festplatte in das Verzeichnis AppData\Local geschrieben und dann ausgeführt wird. Beim zweiten Typ wird eine dateilose Ausführung verwendet, bei der Bunnyloader einen „notepad.exe“-Prozess in einem angehaltenen Zustand erstellt und dann die Nutzdaten von der empfangenen URL mit dem Benutzeragenten „BunnyLoader_Dropper“ herunterlädt.

Info: Weitere Details der technischen Analyse des Loaders sind im folgenden Blog nachzulesen: https://www.zscaler.com/blogs/security-research/bunnyloader-newest-malware-service

Zscaler