Varian Buer Malware Berbasis Karat Telah Terlihat di Alam Liar

  • Whatsapp
Varian Buer Malware Berbasis Karat Telah Terlihat di Alam Liar

Peneliti keamanan dunia maya pada hari Senin mengungkapkan kampanye malspam baru yang mendistribusikan varian baru dari pemuat malware yang disebut “Buer” yang ditulis di Rust, menggambarkan bagaimana musuh terus-menerus mengasah perangkat malware mereka untuk menghindari analisis.

Dijuluki “RustyBuer,” malware tersebut disebarkan melalui email yang menyamar sebagai pemberitahuan pengiriman dari DHL Support, dan dikatakan telah mempengaruhi tidak kurang dari 200 organisasi di lebih dari 50 vertikal sejak awal April.

Bacaan Lainnya

“Varian Buer baru ditulis dalam Rust, bahasa pemrograman yang efisien dan mudah digunakan yang menjadi semakin populer,” peneliti Proofpoint kata dalam laporan yang dibagikan dengan The Hacker News. “Menulis ulang malware di Rust memungkinkan pelaku ancaman menghindari kemampuan deteksi Buer yang ada dengan lebih baik.”

auditor kata sandi

Pertama kali diperkenalkan pada Agustus 2019, Buer adalah penawaran malware-as-a-service modular yang dijual di forum bawah tanah dan digunakan sebagai pengunduh tahap pertama untuk mengirimkan muatan tambahan, memberikan kompromi awal terhadap sistem Windows target dan memungkinkan penyerang membuat “landasan digital ” untuk aktivitas berbahaya lebih lanjut. Sebuah Proofpoint analisis pada bulan Desember 2019 menandai Buer sebagai malware yang dikodekan seluruhnya dalam C, menggunakan panel kontrol yang ditulis dalam .NET Core.

Pada September 2020, para operator tertinggal Ryuk ransomware ditemukan menggunakan penetes malware Buer sebagai vektor akses awal dalam kampanye spam yang ditujukan kepada korban yang tidak disebutkan namanya. Kemudian serangan phishing terungkap pada Februari 2021 dipekerjakan pemikat bertema faktur untuk membujuk pengguna agar membuka dokumen Microsoft Excel yang berisi makro berbahaya, yang mengunduh dan mengeksekusi dropper Buer pada sistem yang terinfeksi.

Permintaan POST awal Buer Loader

Kampanye maldoc baru mengikuti modus operandi yang serupa, menggunakan email phishing bertema DHL untuk mendistribusikan dokumen Word atau Excel yang dipersenjatai yang mengirimkan varian Rust dari Buer loader. Penyimpangan yang “tidak biasa” dari bahasa pemrograman C berarti Buer sekarang mampu mengelak dari deteksi yang didasarkan pada fitur malware yang ditulis dalam C.

“Malware yang ditulis ulang, dan penggunaan umpan baru yang berusaha tampil lebih sah, menunjukkan bahwa pelaku ancaman yang memanfaatkan RustyBuer mengembangkan teknik dalam berbagai cara untuk menghindari deteksi dan berupaya meningkatkan rasio klik yang berhasil,” kata para peneliti.

Mengingat fakta bahwa Buer bertindak sebagai pemuat tahap pertama untuk jenis malware lain, termasuk Cobalt Strike dan strain ransomware, peneliti Proofpoint memperkirakan bahwa penyerang dunia maya mungkin menggunakan pemuat untuk mendapatkan pijakan ke jaringan target dan menjual akses ke aktor lain. dalam skema “akses sebagai layanan”.

“Ketika dipasangkan dengan upaya pelaku ancaman yang memanfaatkan RustyBuer untuk lebih melegitimasi iming-iming mereka, ada kemungkinan rantai penyerangan mungkin lebih efektif dalam memperoleh akses dan ketekunan,” para peneliti menyimpulkan.

RustyBuer adalah yang terbaru dari serangkaian upaya yang bertujuan untuk menambahkan lapisan ekstra opasitas, karena penjahat dunia maya semakin memperhatikan bahasa pemrograman baru dengan harapan hal itu akan memungkinkan kode serangan melewati pertahanan keamanan. Awal tahun ini, malware bernama “NimzaLoader” diidentifikasi sebagai ditulis dalam bahasa pemrograman Nim, diikuti oleh adware macOS bernama “Konvuster“yang didasarkan pada Rust.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *