RustyBuer, a Buer trójai program átdolgozott verziója

A Buer letöltő egy veszélyes trójai program, amelynek tevékenysége 2020 végére nyúlik vissza. Alkotói különböző rosszindulatú programok, például banki trójai programok, ransomware és információlopók terjesztésére használják. A közelmúltban a kiberbiztonsági szakértők találkoztak ennek a fenyegetésnek egy új változatával. Úgy tűnik, hogy a rosszindulatú program szinte azonos funkcionalitást tartalmaz, de van egy fő különbség - a szoftvert R helyett Rust-ban írták. A Rust egy viszonylag új programozási nyelv, és a kiberbűnözők ezt vizsgálják, mert van esély arra, hogy a víruskereső termékek még nincsenek megszoktam. Ugyanez a helyzet a golang nyelv esetében - ez egyre gyakoribbá válik az új rosszindulatú programok fejlesztéseiben.

RustyBuer Malware, a Buer trójai program frissített verziója

Szóval, hogyan éri el a RustyBuer Malware az áldozatait? A bűnözők lándzsás adathalász e-maileken keresztül juttatják el a rosszindulatú fájlt, amelyek mellékletet vagy letöltési linket tartalmaznak egy külső forráshoz. Mindkét esetben az áldozatok végül letöltenek egy Microsoft Office dokumentumot, általában DOCX vagy XLSX formátumot használva.

Amikor megpróbálja megnyitni a dokumentumot, megjelenhet egy felszólítás, amely arra kéri őket, hogy engedélyezzék a makrókat. Észrevesznek egy csalogató dokumentumot is, amelyet állítólag sok népszerű víruskereső eszköz ellenőriz. Ez egy általános trükk, amelyet a kiberbűnözők arra használnak, hogy makroszintű dokumentumaik legitimebbek legyenek. Ha a felhasználó végül engedélyezi a makrókat, a rosszindulatú fájl egy rejtett parancsfájlt használ a RustyBuer Malware hasznos terhelés telepítéséhez és inicializálásához.

Eddig a RustyBuer Malware szinte minden példánya kézbesítette a Cobalt Strike Beacon egy példányát. Ez egy jogos behatolás-tesztelő eszköz, amelyet sajnos a kiberbűnözők visszaélnek. A Buer és a RustyBuer Malware támadások mögött álló bandát még nem sikerült azonosítani, de a kutatók gyanítják, hogy esetleg Oroszországból működnek.

Az „egzotikusabb” programozási nyelvekre támaszkodó rosszindulatú programok fejlesztői száma tovább növekszik. A RustyBuer Malware jelentések előtt az antivírus-gyártóknak világszerte meg kellett küzdeniük a Golang-alapú fenyegetéseket, mint például a ChaChi Trojan és a Klingon RAT .