RustyBuer、Buerトロイの木馬の改良版
Buerダウンローダーは危険なトロイの木馬であり、その活動は2020年の終わりにまでさかのぼります。その作成者は、バンキング型トロイの木馬、ランサムウェア、情報スティーラーなどのさまざまなマルウェアを増殖させるために使用します。最近、サイバーセキュリティの専門家はこの脅威の新しい変種に出くわしました。マルウェアはほぼ同じ機能を搭載しているように見えますが、大きな違いが1つあります。ソフトウェアはCではなくRustで作成されています。Rustは比較的新しいプログラミング言語であり、ウイルス対策製品がまだ使用されていない可能性があるため、サイバー犯罪者が調査しています。に慣れている。 Golang言語についても状況は同じです。これは、新しいマルウェアの開発でますます一般的になっています。
RustyBuerマルウェア、Buerトロイの木馬の改良版
では、RustyBuerマルウェアはどのようにして被害者に到達するのでしょうか。犯罪者は、添付ファイルまたは外部ソースへのダウンロードリンクのいずれかを含むスピアフィッシングメールを介して悪意のあるファイルを配信しています。どちらの状況でも、被害者は通常DOCXまたはXLSX形式を使用してMicrosoftOfficeドキュメントをダウンロードすることになります。
ただし、ドキュメントを開こうとすると、マクロを有効にするように求めるプロンプトが表示される場合があります。また、さまざまな一般的なウイルス対策ツールによって検証されていると主張するおとり文書にも気付くでしょう。これは、サイバー犯罪者がマクロレースのドキュメントをより正当に見せるために使用する一般的なトリックです。ユーザーがマクロを有効にすることになった場合、悪意のあるファイルは隠しスクリプトを使用してRustyBuerマルウェアペイロードを展開および初期化します。
これまでのところ、RustyBuerマルウェアのほぼすべてのコピーがCobalt StrikeBeaconのコピーを配信しています。これは、残念ながらサイバー犯罪者が悪用する正当な侵入テストツールです。 BuerおよびRustyBuerマルウェア攻撃の背後にいるギャングはまだ特定されていませんが、研究者は彼らがロシアから活動しているのではないかと疑っています。
より多くの「エキゾチック」プログラミング言語に依存するマルウェア開発者の数は増え続けています。前RustyBuerマルウェアの報告書に、ウイルス対策ベンダーは、世界中のようなGolangベースの脅威に取り組む必要がありましたChaChiトロイの木馬とクリンゴンRATを。