RustyBuer, μια εκ νέου έκδοση του Buer Trojan
Το πρόγραμμα λήψης Buer είναι ένα επικίνδυνο Trojan του οποίου η δραστηριότητα χρονολογείται από το τέλος του 2020. Οι δημιουργοί του το χρησιμοποιούν για να διαδώσουν διάφορα κομμάτια κακόβουλου λογισμικού, όπως τραπεζικά Trojans, ransomware και κλοπή πληροφοριών. Πρόσφατα, εμπειρογνώμονες στον τομέα της ασφάλειας στον κυβερνοχώρο συνάντησαν μια νέα παραλλαγή αυτής της απειλής. Το κακόβουλο λογισμικό φαίνεται να έχει σχεδόν όμοια λειτουργικότητα, αλλά υπάρχει μια σημαντική διαφορά - το λογισμικό γράφτηκε στο Rust αντί για το C. Rust είναι μια σχετικά νέα γλώσσα προγραμματισμού και οι εγκληματίες του κυβερνοχώρου το εξερευνούν επειδή υπάρχει πιθανότητα τα προϊόντα προστασίας από ιούς να μην είναι ακόμη Συνηθισμένος σε αυτό. Η κατάσταση είναι η ίδια για τη γλώσσα Golang - γίνεται όλο και πιο συχνή σε νέες εξελίξεις κακόβουλου λογισμικού.
RustyBuer Malware, μια ανανεωμένη έκδοση του Buer Trojan
Λοιπόν, πώς φτάνει το RustyBuer Malware στα θύματά του; Οι εγκληματίες παραδίδουν το κακόβουλο αρχείο μέσω ηλεκτρονικών μηνυμάτων ηλεκτρονικού ψαρέματος (phear-phishing), τα οποία περιέχουν είτε συνημμένο είτε σύνδεσμο λήψης σε μια εξωτερική πηγή. Και στις δύο περιπτώσεις, τα θύματα καταλήγουν να κατεβάσουν ένα έγγραφο του Microsoft Office, συνήθως χρησιμοποιώντας τη μορφή DOCX ή XLSX.
Όταν προσπαθούν να ανοίξουν το έγγραφο, ωστόσο, ενδέχεται να δουν ένα μήνυμα που τους ζητά να ενεργοποιήσουν τις μακροεντολές. Θα παρατηρήσουν επίσης ένα ψευδές έγγραφο, το οποίο ισχυρίζεται ότι επαληθεύεται από ένα ευρύ φάσμα δημοφιλών εργαλείων προστασίας από ιούς. Αυτό είναι ένα συνηθισμένο τέχνασμα που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου για να κάνουν τα έγγραφά τους να φαίνονται πιο νόμιμα. Εάν ο χρήστης καταλήξει να ενεργοποιεί μακροεντολές, το κακόβουλο αρχείο θα χρησιμοποιήσει ένα κρυφό σενάριο για να αναπτύξει και να προετοιμάσει το ωφέλιμο φορτίο RustyBuer Malware.
Μέχρι στιγμής, σχεδόν όλα τα αντίγραφα του RustyBuer Malware έχουν παραδώσει ένα αντίγραφο του Cobalt Strike Beacon. Αυτό είναι ένα νόμιμο εργαλείο δοκιμής διείσδυσης που, δυστυχώς, κακοποιούν τους εγκληματίες του κυβερνοχώρου. Η συμμορία πίσω από τις επιθέσεις κακόβουλου λογισμικού Buer και RustyBuer δεν έχει ακόμη εντοπιστεί, αλλά οι ερευνητές υποψιάζονται ότι ενδέχεται να λειτουργούν εκτός Ρωσίας.
Ο αριθμός των προγραμματιστών κακόβουλων προγραμμάτων που βασίζονται σε περισσότερες «εξωτικές» γλώσσες προγραμματισμού συνεχίζει να αυξάνεται. Πριν από τις αναφορές του RustyBuer Malware, οι προμηθευτές προστασίας από ιούς σε όλο τον κόσμο έπρεπε να αντιμετωπίσουν τις απειλές που βασίζονται στο Golang, όπως το ChaChi Trojan και το Klingon RAT .
