恶意软件即服务(MaaS)BunnyLoader近期活跃中

2023年 11月 15日 35.3k 0

攻击描述

近期国外攻击者在出售一款名为“BunnyLoader”的恶意软件即服务(Malware-as-a-Service, MaaS)。山石网科情报中心获取了一批恶意样本,分析发现BunnyLoader可窃取包括加密货币钱包地址在内的敏感信息,以及下载执行其他恶意负载,并且攻击者在不断更新提供新的恶意功能。

简要分析

恶意样本启动后首先修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中创建一个名为“Spyware_Blocker”的新注册表项,值为BunnyLoader文件路径,以此来实现持久化。

接下来执行反虚拟机、反沙箱技术。例如检测是否加载了某些沙箱模块、是否存在docker容器或用户名是否为常见沙箱用户名。若检测到沙箱或虚拟机则恶意软件会终止活动。

然后恶意软件将收集受害者主机信息(ip、主机名、操作系统等)并携带这些信息向C2服务器发起GET请求,请求头中user agent为“BunnyLoader”。受害者主机将被注册到C2服务器。

注册完成后BunnyLoader可从C2处接收命令执行任务。目前有以下一些功能:

(1)下载执行二阶段payload,一般为其他木马程序;

(2)窃取敏感信息,如浏览器凭证、VPN、加密货币钱包信息等;

(3)按键记录;

(4)远程命令执行;

(5)修改替换加密货币钱包地址等。

BunnyLoader使用powershell命令将收集的信息文件压缩为zip文档。然后使用curl将zip文档发送至C2服务器。

处置建议

用户可以利用其C2和AV防护模块来提高网络安全,从而降低潜在风险。为确保最佳保护,用户应及时升级特征库,确保其包含最新安全特征信息。

失陷指标

bbf53c2f20ac95a3bc18ea7575f2344b
dbf727e1effc3631ae634d95a0d88bf3
37[.]139[.]129[.]145

转载来源:https://www.ctfiot.com/142036.html

图片来源网络目标可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论