RustyBuer, eine überarbeitete Version des Buer-Trojaners
Der Buer-Downloader ist ein gefährlicher Trojaner, dessen Aktivität bis Ende 2020 zurückreicht. Seine Schöpfer verwenden ihn, um verschiedene Malware wie Banking-Trojaner, Ransomware und Informationsdiebstahl zu verbreiten. Vor kurzem stießen Cybersicherheitsexperten auf eine neue Variante dieser Bedrohung. Die Malware scheint fast identische Funktionen zu enthalten, aber es gibt einen großen Unterschied – die Software wurde in Rust statt in C geschrieben. Rust ist eine relativ neue Programmiersprache und Cyberkriminelle erforschen sie, weil es die Möglichkeit gibt, dass Antivirenprodukte es noch nicht sind etwas gewöhnt sein. Ähnlich verhält es sich mit der Sprache Golang – sie wird bei neuen Malware-Entwicklungen immer häufiger.
RustyBuer Malware, eine überarbeitete Version des Buer-Trojaners
Wie erreicht die RustyBuer-Malware ihre Opfer? Die Kriminellen liefern die bösartige Datei über Spear-Phishing-E-Mails, die entweder einen Anhang oder einen Download-Link zu einer externen Quelle enthalten. In beiden Situationen laden die Opfer ein Microsoft Office-Dokument herunter, normalerweise im DOCX- oder XLSX-Format.
Wenn sie jedoch versuchen, das Dokument zu öffnen, werden sie möglicherweise aufgefordert, Makros zu aktivieren. Sie werden auch ein Lockvogel-Dokument bemerken, das behauptet, von einer Vielzahl beliebter Antiviren-Tools überprüft zu werden. Dies ist ein gängiger Trick, den Cyberkriminelle verwenden, um ihre Dokumente mit Makros legitimer erscheinen zu lassen. Wenn der Benutzer Makros aktiviert, verwendet die bösartige Datei ein verstecktes Skript, um die RustyBuer-Malware-Nutzlast bereitzustellen und zu initialisieren.
Bisher haben fast alle Kopien der RustyBuer Malware eine Kopie des Cobalt Strike Beacon geliefert. Dies ist ein legitimes Penetrationstest-Tool, das leider von Cyberkriminellen missbraucht wird. Die Bande hinter den Malware-Angriffen Buer und RustyBuer ist noch nicht identifiziert, aber Forscher vermuten, dass sie von Russland aus operieren.
Die Zahl der Malware-Entwickler, die sich auf „exotischere“ Programmiersprachen verlassen, wächst weiter. Vor den RustyBuer-Malware-Berichten mussten Antivirus-Anbieter weltweit Golang-basierte Bedrohungen wie den ChaChi-Trojaner und den Klingonischen RAT bekämpfen.