Nueva Variante de Malware BunnyLoader Aparece con Características de Ataque Modulares

XPoint
Publicado el 20/03/2024

Ciberdelincuencia | Seguridad Financiera | Malware BunnyLoader

Investigadores de ciberseguridad han descubierto una variante actualizada de un stealer y cargador de malware llamado BunnyLoader que modulariza sus diversas funciones y permite evadir la detección.

«BunnyLoader es un malware en desarrollo dinámico con la capacidad de robar información, credenciales y criptomonedas, así como de entregar malware adicional a sus víctimas», dijo Palo Alto Networks Unit 42 en un informe publicado la semana pasada.

La nueva versión, denominada BunnyLoader 3.0, fue anunciada por su desarrollador llamado Player (o Player_Bunny) el 11 de febrero de 2024, con módulos reescritos para robo de datos, tamaño reducido de carga útil y capacidades mejoradas de keylogging.

BunnyLoader fue documentado por primera vez por Zscaler ThreatLabz en septiembre de 2023, describiéndolo como malware como servicio (MaaS) diseñado para recopilar credenciales y facilitar el robo de criptomonedas. Inicialmente se ofrecía en una suscripción mensual de $250.

Ciberseguridad El malware ha experimentado actualizaciones frecuentes que tienen como objetivo evadir las defensas antivirus y ampliar sus funciones de recopilación de datos, con BunnyLoader 2.0 lanzado a fines del mismo mes.

La tercera generación de BunnyLoader va un paso más allá al incorporar nuevas características de denegación de servicio (DoS) para realizar ataques de inundación HTTP contra una URL objetivo, así como dividir sus módulos de stealer, clipper, keylogger y DoS en binarios distintos.

«Los operadores de BunnyLoader pueden optar por implementar estos módulos o utilizar los comandos integrados de BunnyLoader para cargar su elección de malware», explicó Unit 42.

Las cadenas de infección que entregan BunnyLoader también se han vuelto progresivamente más sofisticadas, aprovechando un dropper previamente no documentado para cargar PureCrypter, que luego se bifurca en dos ramas separadas.

Mientras que una rama lanza el cargador PureLogs para finalmente distribuir el stealer PureLogs, la segunda secuencia de ataque deja caer BunnyLoader para distribuir otro malware stealer llamado Meduza.

Malware BunnyLoader «En el paisaje en constante cambio de MaaS, BunnyLoader continúa evolucionando, demostrando la necesidad de que los actores de amenazas se reequipen con frecuencia para evadir la detección», dijeron los investigadores de Unit 42.

Este desarrollo se produce en medio del uso continuo del malware SmokeLoader (también conocido como Dofoil o Sharik) por parte de una presunta banda de ciberdelincuentes rusos llamada UAC-006 para atacar al gobierno ucraniano y entidades financieras. Se sabe que está activo desde 2011.

Según un exhaustivo informe publicado por el Centro de Protección Cibernética del Estado de Ucrania (SCPC), se registraron hasta 23 oleadas de ataques de phishing que entregaban SmokeLoader entre mayo y noviembre de 2023.

Ciberseguridad «Principalmente un cargador con capacidades de robo de información adicionales, SmokeLoader ha sido vinculado a operaciones de ciberdelincuencia rusas y está disponible fácilmente en foros de ciberdelincuencia rusos», dijo Unit 42.

Además de BunnyLoader y SmokeLoader, hay dos nuevos malwares roba información llamados Nikki Stealer y GlorySprout, este último desarrollado en C++ y ofrecido por $300 para un acceso de por vida. Según RussianPanda, el stealer es un clon de Taurus Stealer.

«Una diferencia notable es que GlorySprout, a diferencia de Taurus Stealer, no descarga dependencias DLL adicionales de los servidores C2», dijo el investigador. «Además, GlorySprout carece de la función Anti-VM que está presente en Taurus Stealer».

Los hallazgos también siguen al descubrimiento de una nueva variante de WhiteSnake Stealer que permite el robo de datos sensibles críticos de sistemas comprometidos. «Esta nueva versión ha eliminado el código de desencriptación de cadenas y ha hecho que el código sea fácil de entender», dijo SonicWall.

Preguntas frecuentes

¿Qué es un Malware?

+

Un Malware es un programa malicioso, también conocido como programa maligno, programa malintencionado o código maligno, es cualquier tipo de software que realiza acciones dañinas en un sistema informático de forma intencionada y sin el conocimiento del usuario.​

¿Qué es un CyberSOC?

+

CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es el Hacking Ético?

+

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos