RustyBuer, en omarbejdet version af Buer Trojan

Buer-downloaderen er en farlig trojan, hvis aktivitet går tilbage til slutningen af 2020. Dens skabere bruger den til at udbrede forskellige stykker malware, såsom bank-trojanske heste, ransomware og informationsstealer. For nylig stødte cybersikkerhedseksperter på en ny variant af denne trussel. Malware ser ud til at pakke næsten identisk funktionalitet, men der er en stor forskel - softwaren blev skrevet i Rust i stedet for C. Rust er et relativt nyt programmeringssprog, og cyberkriminelle undersøger det, fordi der er en chance for, at antivirusprodukter endnu ikke er vant til det. Situationen er den samme med Golang-sproget - det bliver mere og mere almindeligt i ny malwareudvikling.

RustyBuer Malware, en opdateret version af Buer Trojan

Så hvordan når RustyBuer Malware sine ofre? Kriminelle leverer den ondsindede fil via spear-phishing-e-mails, som enten indeholder en vedhæftet fil eller et downloadlink til en ekstern kilde. I begge situationer ender det med at downloade et Microsoft Office-dokument, typisk ved hjælp af DOCX- eller XLSX-formatet.

Når de forsøger at åbne dokumentet, kan de dog se en prompt, der beder dem om at aktivere makroer. De vil også bemærke et lokkedokument, der hævder at være verificeret af en bred vifte af populære antivirusværktøjer. Dette er et almindeligt trick, som cyberkriminelle bruger for at få deres makroblændede dokumenter til at virke mere legitime. Hvis brugeren ender med at aktivere makroer, bruger den ondsindede fil et skjult script til at implementere og initialisere RustyBuer Malware-nyttelasten.

Indtil videre har næsten alle kopier af RustyBuer Malware leveret en kopi af Cobalt Strike Beacon. Dette er et legitimt penetrations-testværktøj, som desværre cyberkriminelle misbruger. Banden bag Buer og RustyBuer Malware-angrebene er endnu ikke identificeret, men forskere har mistanke om, at de muligvis opererer ud af Rusland.

Antallet af malwareudviklere, der er afhængige af mere 'eksotiske' programmeringssprog, vokser fortsat. Forud for RustyBuer Malware-rapporterne måtte antivirusudbydere over hele verden tackle Golang-baserede trusler som ChaChi Trojan og Klingon RAT .