RustyBuer Malware

Scoperto dai ricercatori di sicurezza, RustyBuer è una nuova versione del caricatore di malware Buer. La minaccia originale è stata osservata per la prima volta nel 2019 quando è stata resa disponibile per l'acquisto sui forum di hacker sotterranei. Buer funge da payload iniziale che stabilisce un punto d'appoggio sul sistema mirato e procede a intensificare l'attacco con la consegna di minacce malware di fase successiva. La versione più recente mantiene la stessa funzionalità con il principale fattore di differenziazione che è scritta nel linguaggio di programmazione Rust.

La ricreazione delle minacce malware esistenti utilizzando linguaggi di programmazione più recenti e meno consolidati è una tendenza relativamente recente tra i criminali informatici. Ciò consente loro di evitare soluzioni di sicurezza antimalware basate su firme che possono facilmente rilevare le versioni originali delle minacce. Allo stesso tempo, riduce drasticamente il tempo necessario per rilasciare la minaccia, rispetto all'alternativa di dover creare un malware nuovo di zecca.

La catena d'attacco di RustyBuer

Nella serie di attacchi che hanno coinvolto il malware RustyBuer, gli attori delle minacce hanno diffuso e-mail di richiamo che fingono provenire dalla società di logistica internazionale DHL. Per aggiungere più legittimità alle e-mail false, gli hacker hanno incluso i loghi di diversi fornitori di sicurezza informatica. Il testo delle e-mail false indica alla vittima mirata di aprire il file allegato, di solito un documento Word o Excel usato come arma. Il file danneggiato contiene una macro che invia la minaccia RustyBuer al sistema. Per evitare il rilevamento dalle soluzioni di sicurezza degli endpoint, la macro sfrutta un bypass dell'applicazione.

Una volta all'interno del dispositivo della vittima, RustyBuer controlla l'ambiente alla ricerca di segni di virtualizzazione. Successivamente, esegue un controllo di geolocalizzazione per determinare se l'utente proviene da uno specifico paese CIS (Commonwealth of Independent States) e se viene trovata una corrispondenza, il malware interrompe la sua esecuzione. RustyBuer stabilisce anche un meccanismo di persistenza tramite un file LNK che viene avviato ad ogni avvio del sistema.

Payload della prossima fase

L'analisi delle recenti campagne di attacco che implementano RustyBuer ha rivelato che la minaccia è per lo più coerente con il comportamento precedentemente osservato in Buer: gli attori della minaccia hanno lanciato un Cobalt Strike Beacon sui sistemi violati. Cobalt Strike è uno strumento di test di penetrazione legittimo che viene spesso sfruttato dagli attori delle minacce che lo incorporano nelle loro operazioni minacciose.

Tuttavia, in alcuni casi, dopo che RustyBuer è stato installato sui sistemi, gli attori della minaccia non hanno intensificato l'attore e non sono stati rilevati payload di secondo livello. I ricercatori ritengono che sia un segno degli attori delle minacce che cercano di gestire uno schema di accesso come servizio che offre di vendere l'accesso post-infezione ai sistemi ad altri gruppi di criminali informatici.

Va inoltre notato che l'esistenza di un elenco di paesi soggetti a restrizioni della regione della CSI indica che gli operatori di RustyBuer potrebbero potenzialmente avere legami con la Russia.