RustyBuer, uma versão reformulada do cavalo de Troia Buer
O Buer downloader é um Trojan perigoso, cuja atividade data do final de 2020. Seus criadores o usam para propagar diferentes peças de malware, como Trojans bancários, ransomware e ladrão de informações. Recentemente, especialistas em segurança cibernética encontraram uma nova variante dessa ameaça. O malware parece ter funcionalidades quase idênticas, mas há uma grande diferença - o software foi escrito em Rust em vez de C. Rust é uma linguagem de programação relativamente nova, e os cibercriminosos estão explorando-a porque há uma chance de que os produtos antivírus ainda não estejam acostumado. A situação é a mesma com relação à linguagem Golang - ela se torna cada vez mais comum em novos desenvolvimentos de malware.
Malware RustyBuer, uma versão reformulada do cavalo de Troia Buer
Então, como o malware RustyBuer atinge suas vítimas? Os criminosos estão entregando o arquivo malicioso por meio de e-mails de spear-phishing, que contêm um anexo ou um link de download para uma fonte externa. Em ambas as situações, as vítimas acabam baixando um documento do Microsoft Office, normalmente usando o formato DOCX ou XLSX.
Quando eles tentam abrir o documento, no entanto, podem ver um prompt solicitando que ativem as macros. Eles também notarão um documento falso, que afirma ser verificado por uma ampla gama de ferramentas antivírus populares. Esse é um truque comum que os cibercriminosos usam para fazer com que seus documentos vinculados a macros pareçam mais legítimos. Se o usuário acabar ativando macros, o arquivo malicioso usará um script oculto para implantar e inicializar a carga útil do Malware RustyBuer.
Até agora, quase todas as cópias do Malware RustyBuer entregaram uma cópia do Cobalt Strike Beacon. Esta é uma ferramenta legítima de teste de penetração que, infelizmente, os cibercriminosos usam indevidamente. A gangue por trás dos ataques de malware Buer e RustyBuer ainda não foi identificada, mas os pesquisadores suspeitam que eles possam estar operando fora da Rússia.
O número de desenvolvedores de malware que contam com linguagens de programação mais 'exóticas' continua a crescer. Antes dos relatórios de malware da RustyBuer, fornecedores de antivírus em todo o mundo tinham que enfrentar ameaças baseadas em Golang, como o Trojan ChaChi e o RAT Klingon .