Siber Muhbir

Palo Alto Networks Unit 42, geçen hafta yayınlanan bir raporda, "BunnyLoader, bilgileri, kimlik bilgilerini ve kripto para birimini çalma ve kurbanlarına ek kötü amaçlı yazılım sunma yeteneğine sahip dinamik olarak kötü amaçlı yazılım geliştiriyor" dedi.

BunnyLoader 3.0 olarak adlandırılan yeni sürüm, 11 Şubat 2024'te Player (veya Player_Bunny) adlı geliştiricisi tarafından veri hırsızlığı için yeniden yazılmış modüller, azaltılmış yük boyutu ve gelişmiş keylogging yetenekleriyle duyuruldu.

BunnyLoader ilk olarak Eylül 2023'te Zscaler ThreatLabz tarafından belgelendi ve kimlik bilgilerini toplamak ve kripto para hırsızlığını kolaylaştırmak için tasarlanmış bir hizmet olarak kötü amaçlı yazılım (MaaS) olarak tanımlandı. Başlangıçta abonelik bazında ayda 250 ABD doları karşılığında sunuldu.

Kötü amaçlı yazılım, o zamandan beri, aynı ayın sonunda piyasaya sürülen BunnyLoader 2.0 ile antivirüs savunmalarından kaçınmayı ve veri toplama işlevlerini genişletmeyi amaçlayan sık güncellemelerden geçti.

Üçüncü nesil BunnyLoader, bir hedef URL'ye karşı HTTP taşma saldırıları düzenlemek için yalnızca yeni hizmet reddi (DoS) özelliklerini dahil etmekle kalmayıp, aynı zamanda hırsız, kesme makinesi, keylogger ve DoS modüllerini farklı ikili dosyalara bölerek bir adım daha ileri gidiyor.

Unit 42, "BunnyLoader operatörleri bu modülleri dağıtmayı seçebilir veya seçtikleri kötü amaçlı yazılımları yüklemek için BunnyLoader'ın yerleşik komutlarını kullanabilir" dedi.

BunnyLoader'ı sağlayan enfeksiyon zincirleri de giderek daha karmaşık hale geldi ve daha önce belgelenmemiş bir damlalıktan yararlanarak PureCrypter'ı yükledi ve daha sonra iki ayrı dala ayrıldı.

Bir dal, nihayetinde PureLogs hırsızını teslim etmek için PureLogs yükleyicisini başlatırken, ikinci saldırı dizisi, Meduza adlı başka bir hırsız kötü amaçlı yazılımını dağıtmak için BunnyLoader'ı düşürür.

Unit 42 araştırmacıları, "MaaS'ın sürekli değişen ortamında, BunnyLoader gelişmeye devam ediyor ve tehdit aktörlerinin tespit edilmekten kaçınmak için sık sık yeniden donatılması gerektiğini gösteriyor" dedi.

Gelişme, Ukrayna hükümetini ve finans kuruluşlarını hedef almak için UAC-006 adlı şüpheli bir Rus siber suç ekibi tarafından SmokeLoader kötü amaçlı yazılımının (diğer adıyla Dofoil veya Sharik) kullanılmaya devam edilmesinin ortasında geldi. 2011'den beri aktif olduğu bilinmektedir.

Ukrayna Devlet Siber Koruma Merkezi (SCPC) tarafından yayınlanan kapsamlı bir rapora göre, Mayıs ve Kasım 2023 arasında SmokeLoader sağlayan 23 kimlik avı saldırısı dalgası kaydedildi.

Unit 42, "Öncelikle ek bilgi çalma yeteneklerine sahip bir yükleyici olan SmokeLoader, Rus siber suç operasyonlarıyla bağlantılıdır ve Rus siber suç forumlarında kolayca bulunabilir" dedi.

BunnyLoader ve SmokeLoader'a ek olarak, Nikki Stealer ve GlorySprout kod adlı iki yeni bilgi hırsızı kötü amaçlı yazılımı, ikincisi C++ ile geliştirildi ve ömür boyu erişim için 300 dolara teklif edildi. RussianPanda'ya göre, hırsız Taurus Stealer'ın bir klonudur.

Araştırmacı, "Dikkate değer bir fark, GlorySprout'un Taurus Stealer'ın aksine, C2 sunucularından ek DLL bağımlılıkları indirmemesidir" dedi. "Ek olarak, GlorySprout, Taurus Stealer'da bulunan Anti-VM özelliğinden yoksundur."

Bulgular ayrıca, güvenliği ihlal edilmiş sistemlerden kritik hassas verilerin çalınmasına izin veren yeni bir WhiteSnake Stealer varyantının keşfini de takip ediyor. SonicWall, "Bu yeni sürüm, dize şifre çözme kodunu kaldırdı ve kodun anlaşılmasını kolaylaştırdı" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.