Zscaler ThreatLabzは、地下フォーラムで提供されている「BunnyLoader」と呼ばれる新たに出現したMalware-as-a-Service(MaaS)脅威を特定しました。価格は250ドルで、現在も活発に開発が進められており、さまざまな機能更新やバグ修正により急速に進化しています。
主にC/C++でコーディングされたBunnyLoaderは、メモリ上で悪意ある活動を行うファイルレスローダーであり、サイバーセキュリティ専門家にとって検知をより困難にします。キーロギング、暗号資産ウォレットアドレスを乗っ取るためのクリップボード監視、リモートコマンド実行(RCE)など、幅広い機能を備えています。
2023年9月4日の初回リリース以降、BunnyLoaderはいくつもの反復(イテレーション)を重ね、そのたびに改良と修正が加えられてきました。これらの更新は、バグへの対処、新機能の導入、解析の試みを阻止するための適応を行います。さらに、このマルウェアは現在、ペイロードとスタブをそれぞれ250ドルと350ドルで購入できるオプションも提供しています。
先週金曜日にZscalerが公開したアドバイザリによると、BunnyLoaderの運用の中核はコマンド&コントロール(C2)パネルにあり、追加マルウェアのダウンロードと実行、キーロギング、認証情報の窃取、暗号資産窃取のためのクリップボード操作、リモートコマンド実行(RCE)など、さまざまなタスクを管理します。
C2パネルは統計情報、クライアント追跡、タスク管理も提供し、脅威アクターに感染マシンに対する広範な制御を与えます。
Zscalerはまた、BunnyLoaderの技術分析により、その永続化メカニズム、アンチサンドボックス戦術、C2サーバーとのやり取りが明らかになったと説明しました。このマルウェアは仮想環境を検出でき、解析を回避するためにさまざまな手法を用います。
特に、このマルウェアのキーロガーはキーストロークを記録し、スティーラーコンポーネントはWebブラウザ、暗号資産ウォレット、VPNクライアントの情報を含む幅広いデータを流出させます。
キーロガーについて詳しく読む:従業員の自宅PC上のキーロガーがLastPassの2022年侵害につながった
クリッパーモジュールは、被害者のクリップボード内の暗号資産アドレスをスキャンし、攻撃者が管理するウォレットアドレスに置き換えるという、もう一つの懸念すべき機能です。これにより攻撃者は暗号資産取引を横取りできます。
セキュリティ研究者のNiraj Shivtarkar氏とSatyam Singh氏は、「BunnyLoaderは新しいMaaS脅威であり、標的に対して成功するキャンペーンを実行するために戦術を継続的に進化させ、新機能を追加している」と記しました。「Zscaler ThreatLabzチームは、お客様の安全を守るため、これらの攻撃の監視を継続します。」
翻訳元: https://www.infosecurity-magazine.com/news/bunnyloader-targets-browsers-crypto/
