В начале сентября специалисты Zscaler ThreatLabz обнаружили новую вредоносную программу, продаваемую на различных форумах под названием "BunnyLoader". BunnyLoader предоставляет различные функциональные возможности, такие как загрузка и выполнение полезной нагрузки второго этапа, кража учетных данных браузера и системной информации и многое другое.
BunnyLoader использует кейлоггер для регистрации нажатий клавиш, а также клиппер для мониторинга буфера обмена жертвы и замены адресов криптовалютных кошельков на адреса криптовалютных кошельков, контролируемых актерами. После получения информации BunnyLoader инкапсулирует ее в ZIP-архив и отправляет на командно-контрольный сервер (C2).
Indicators of Compromise
IPv4
- 37.139.129.145
URLs
- http://37.139.129.145/Bunny/
- http://37.139.129.145/Bunny/TaskHandler.php?CommandID=5&BotID=272148461
MD5
- 59ac3eacd67228850d5478fd3f18df78
- bbf53c2f20ac95a3bc18ea7575f2344b
- dbf727e1effc3631ae634d95a0d88bf3