RustyBuer, en omarbeidet versjon av Buer Trojan
Buer-nedlasteren er en farlig trojaner hvis aktivitet dateres tilbake til slutten av 2020. Skaperne bruker den til å spre forskjellige deler av skadelig programvare, for eksempel banktrojanere, ransomware og informasjonstjeler. Nylig kom cybersikkerhetseksperter over en ny variant av denne trusselen. Malware ser ut til å pakke nesten identisk funksjonalitet, men det er en stor forskjell - programvaren ble skrevet i Rust i stedet for C. Rust er et relativt nytt programmeringsspråk, og nettkriminelle utforsker det fordi det er en sjanse for at antivirusprodukter ennå ikke er vant til det. Situasjonen er den samme om Golang-språket - det blir mer og mer vanlig i ny utvikling av skadelig programvare.
RustyBuer Malware, en fornyet versjon av Buer Trojan
Så hvordan når RustyBuer Malware sine ofre? Kriminelle leverer den ondsinnede filen via spear-phishing-e-post, som inneholder enten et vedlegg eller en nedlastingskobling til en ekstern kilde. I begge situasjoner slutter ofrene å laste ned et Microsoft Office-dokument, vanligvis ved bruk av DOCX- eller XLSX-formatet.
Når de prøver å åpne dokumentet, kan de imidlertid se en melding som ber dem om å aktivere makroer. De vil også legge merke til et lokkedokument, som hevder å være verifisert av et bredt utvalg av populære antivirusverktøy. Dette er et vanlig triks som nettkriminelle bruker for å gjøre deres makroblankerte dokumenter mer legitime. Hvis brukeren ender med å aktivere makroer, vil den ondsinnede filen bruke et skjult skript for å distribuere og initialisere RustyBuer Malware-nyttelasten.
Så langt har nesten alle eksemplarer av RustyBuer Malware levert en kopi av Cobalt Strike Beacon. Dette er et legitimt penetrasjonstestingverktøy som dessverre nettkriminelle misbruker. Gjengen bak Buer og RustyBuer Malware-angrepene er ennå ikke identifisert, men forskere mistenker at de kan operere ut av Russland.
Antallet malwareutviklere som stoler på mer 'eksotiske' programmeringsspråk fortsetter å vokse. Før RustyBuer Malware-rapportene måtte antivirusleverandører over hele verden takle Golang-baserte trusler som ChaChi Trojan og Klingon RAT .