Buer

Il caricatore di Trojan Buer è ciò che viene spesso definito Malware-as-a-Service. Ciò significa che i creatori del Buer Trojan lo stanno vendendo come merce sui mercati online sotterranei e chiunque sia disposto a pagare può trarre vantaggio da questo strumento di hacking. Ciò è particolarmente minaccioso, non solo perché non vi è alcun limite al numero di truffatori che possono distribuire la minaccia, ma anche perché il caricatore di Trojan Buer è uno strumento molto ben sviluppato. Secondo i ricercatori, il caricatore Buer è una minaccia creata dagli sviluppatori di malware russi. Gli esperti hanno individuato annunci pubblicitari per il Buer Trojan scritti in russo sostenendo che agli utenti che acquistano la minaccia saranno forniti anche supporto clienti gratuito e aggiornamenti regolari. Il prezzo intero per il caricatore Buer è di $ 400, che non è un prezzo molto alto per quello che offrono i suoi autori. I ricercatori di malware hanno individuato copie del Buer Trojan in diverse campagne di hacking, il che li ha portati a credere che ci siano già molte parti di cattive idee che propagano la minaccia.

Piante malware aggiuntivo sull'host compromesso

Sembrerebbe che le parti che distribuiscono il caricatore Buer stiano impiegando campagne e-mail di phishing. Le e-mail fraudolente conterrebbero spesso un file di documento con macro-stringhe che contiene il codice corrotto della minaccia. Anche il kit di exploit di Fallout è stato identificato come uno strumento utilizzato dagli attori che propagano il Buer Trojan. Come caricatore di trojan, il compito del malware Buer è quello di piantare ulteriori minacce sull'host compromesso. Alcune delle minacce che sono state utilizzate come payload secondari nelle campagne Buer Trojan sono Amadey , TrickBot KPOT V2.0 , tra gli altri. Il caricatore prende i payload delle minacce aggiuntive dal server C&C (Command & Control) degli operatori.

Autoconservazione e persistenza acquisite

Gli autori del Buer Trojan si sono assicurati di implementare alcune tecniche di autoconservazione nella loro creazione. Al momento dell'infezione dell'host di destinazione, il caricatore Buer verificherà se il sistema penetrato viene utilizzato per l'analisi delle minacce e il debug del malware. Buer Trojan verificherà la presenza di qualsiasi software che in genere sarebbe presente in un ambiente sandbox. Questo Trojan controlla anche se il sistema che ha compromesso si trova in Russia o in qualsiasi altro stato dell'ex Unione Sovietica. In tal caso, Buer Trojan interromperà l'operazione. Per ottenere persistenza sul computer infetto, il caricatore Buer manometterà il registro di Windows. Ciò consentirà l'esecuzione del Trojan Buer ogni volta che viene riavviato il computer infetto.

Gli autori del Buer Trojan hanno mantenuto la parola e hanno rilasciato un numero significativo di aggiornamenti da quando hanno iniziato l'operazione. Non è probabile che smetteranno di funzionare molto presto poiché l'interesse per il caricatore di Trojan Buer sta crescendo.