Buer

Buer Trojan-loader er det, der ofte omtales som en Malware-as-a-Service. Dette betyder, at skaberne af Buer Trojan sælger den som en vare på underjordiske onlinemarkeder, og enhver, der er villig til at betale, kan drage fordel af dette hackingværktøj. Dette truer især ikke kun fordi der ikke er nogen grænse for, hvor mange con-aktører, der kan distribuere truslen, men også fordi Buer Trojan-loader er et meget veludviklet værktøj. Ifølge forskere er Buer-loader en trussel, der er blevet bygget af russiske malware-udviklere. Eksperter har opdaget reklamer for Buer Trojan skrevet på russisk og hævder, at brugere, der køber truslen, også får gratis kundesupport og regelmæssige opdateringer. Den fulde pris for Buer-læsseren er $ 400, hvilket ikke er en meget høj pris for hvad dens forfattere tilbyder. Malware-forskere har opdaget kopier af Buer Trojan i flere forskellige hackingkampagner, hvilket fik dem til at tro, at der allerede er flere dårligt sindede parter, der propagerer truslen.

Planter yderligere malware på den kompromitterede vært

Det ser ud til, at de parter, der distribuerer Buer-læsseren, muligvis bruger phishing-e-mail-kampagner. De falske e-mails vil ofte indeholde en makro-laced dokumentfil, der bærer den korrupte trusselkode. Fallout Exploit Kit er også blevet identificeret som et værktøj, der bruges af skuespillerne, der propagerer Buer Trojan. Som en trojan-loader er jobbet med Buer-malware at plante yderligere trusler mod den kompromitterede vært. Nogle af de trusler, der er blevet brugt som sekundær nyttelast i Buer Trojan-kampagnerne er blandt flere andre Amadey , TrickBot KPOT V2.0 . Læsseren griber nyttelaster af de ekstra trusler fra operatørernes C&C (Command & Control) server.

Selvopbevaring og opretholdelse

Forfatterne af Buer Trojan har sørget for at implementere nogle selvbevarende teknikker i deres oprettelse. Efter infektion af den målrettede vært vil Buer-loader kontrollere, om det penetrerede system bruges til trusselanalyse og malware-fejlfinding. Buer Trojan vil tjekke for tilstedeværelsen af al software, der typisk ville være til stede i et sandkassemiljø. Denne Trojan kontrollerer også, om det system, det har kompromitteret, er placeret i Rusland eller enhver anden ex-sovjetisk stat. Hvis dette er tilfældet, stopper Buer Trojan operationen. For at få vedholdenhed på den inficerede maskine manipulerer Buer-loader Windows-registreringsdatabasen. Dette tillader Buer Trojan at køre hver gang den kompromitterede computer genstartes.

Forfatterne af Buer Trojan har holdt deres ord og har frigivet et betydeligt antal opdateringer, siden de startede operationen. Det er ikke sandsynligt, at de vil ophøre med at fungere meget snart, når interessen for Buer Trojan-loader vokser.