RustyBuer, une version retravaillée du cheval de Troie Buer
Le téléchargeur Buer est un cheval de Troie dangereux dont l'activité remonte à la fin de 2020. Ses créateurs l'utilisent pour propager différents logiciels malveillants tels que les chevaux de Troie bancaires, les ransomwares et les voleurs d'informations. Récemment, des experts en cybersécurité ont découvert une nouvelle variante de cette menace. Le malware semble contenir des fonctionnalités presque identiques, mais il y a une différence majeure : le logiciel a été écrit en Rust au lieu de C. Rust est un langage de programmation relativement nouveau, et les cybercriminels l'explorent car il est possible que les produits antivirus ne le soient pas encore. habitué. La situation est la même pour le langage Golang – il devient de plus en plus courant dans les nouveaux développements de logiciels malveillants.
RustyBuer Malware, une version remaniée du cheval de Troie Buer
Alors, comment le logiciel malveillant RustyBuer atteint-il ses victimes ? Les criminels transmettent le fichier malveillant via des e-mails de spear-phishing, qui contiennent soit une pièce jointe, soit un lien de téléchargement vers une source externe. Dans les deux cas, les victimes finissent par télécharger un document Microsoft Office, généralement au format DOCX ou XLSX.
Cependant, lorsqu'ils essaient d'ouvrir le document, ils peuvent voir une invite leur demandant d'activer les macros. Ils remarqueront également un document leurre, qui prétend être vérifié par un large éventail d'outils antivirus populaires. Il s'agit d'une astuce courante que les cybercriminels utilisent pour rendre leurs documents macro-lacés plus légitimes. Si l'utilisateur finit par activer les macros, le fichier malveillant utilisera un script caché pour déployer et initialiser la charge utile RustyBuer Malware.
Jusqu'à présent, presque toutes les copies du logiciel malveillant RustyBuer ont livré une copie du Cobalt Strike Beacon. Il s'agit d'un outil de test de pénétration légitime que, malheureusement, les cybercriminels utilisent à mauvais escient. Le gang derrière les attaques de Buer et RustyBuer Malware n'est pas encore identifié, mais les chercheurs soupçonnent qu'ils pourraient opérer depuis la Russie.
Le nombre de développeurs de logiciels malveillants s'appuyant sur des langages de programmation plus « exotiques » continue de croître. Avant les rapports RustyBuer Malware, les fournisseurs d'antivirus du monde entier devaient s'attaquer aux menaces basées sur Golang comme le cheval de Troie ChaChi et le Klingon RAT .